Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Cenueshmëria React2Shell Vulnerability

React2Shell Vulnerability

Nga MezoCenueshmëria, Kërcënimi i avancuar i vazhdueshëm (APT), Malware
Përkthe në:

Studiuesit e sigurisë kanë konfirmuar se dobësia kritike e njohur si React2Shell po abuzohet në mënyrë aktive nga aktorë të shumtë kërcënues për të kompromentuar sistemet e bazuara në Linux. E meta po shfrytëzohet për të vendosur disa familje programesh keqdashëse, më së shumti KSwapDoor dhe ZnDoor, duke mundësuar akses të thellë dhe të vazhdueshëm në mjediset e prekura. Shfrytëzimi i vazhdueshëm nxjerr në pah se sa shpejt operacionalizohen të metat e aplikacioneve me ndikim të lartë pasi zbulohen.

KSwapDoor: Një derë e pasme Linux e fokusuar në fshehtësi

KSwapDoor është një mjet i projektuar me kujdes për akses në distancë, i ndërtuar për të mbetur i fshehur për periudha të gjata kohore. Ai krijon një rrjet të brendshëm mesh që u lejon serverëve të infektuar të komunikojnë me njëri-tjetrin, duke i ndihmuar sulmuesit të anashkalojnë mbrojtjet perimetrike dhe të ruajnë qëndrueshmërinë nëse nyjet individuale bllokohen. Trafiku i rrjetit të tij është i mbrojtur me enkriptim të fortë, duke e bërë inspektimin dhe zbulimin dukshëm më të vështirë. Një nga aftësitë e tij më shqetësuese është një gjendje joaktive ose 'gjumi', e cila lejon që programi keqdashës të mbetet joaktiv derisa të marrë një shkaktar të fshehtë që e riaktivizon atë, duke anashkaluar në mënyrë efektive kontrollet e firewall-it.

Studiuesit sqaruan se KSwapDoor më parë ishte identifikuar gabimisht si BPFDoor. Në realitet, është një derë e pasme Linux që mbështet aksesin interaktiv në shell, ekzekutimin arbitrar të komandave, manipulimin e skedarëve dhe skanimin për mundësi lëvizjeje anësore. Për t'u përzier më tej, ai maskohet si një daemon legjitim i shkëmbimit të kernelit Linux, duke zvogëluar mundësinë e ngritjes së dyshimeve gjatë monitorimit rutinë të sistemit.

Fushatat e ZnDoor që synojnë organizatat japoneze

Paralelisht, organizatat në Japoni janë shënjestruar nga sulme që shfrytëzojnë React2Shell për të ofruar ZnDoor. Ky trojan me qasje në distancë është vërejtur në aktivitetin e botës reale që të paktën nga dhjetori 2023. Këto ndërhyrje zakonisht fillojnë me një komandë të thjeshtë bash që merr ngarkesën nga një server i largët në 45.76.155.14 duke përdorur wget dhe më pas e ekzekuton atë lokalisht.

Pasi instalohet, ZnDoor lidhet përsëri me infrastrukturën e kontrolluar nga sulmuesi për të marrë udhëzime dhe për të vepruar mbi to. Funksionaliteti i tij është i gjerë dhe mundëson kontroll të plotë mbi hostin e kompromentuar, siç ilustrohet nga grupi i komandave të mbështetura më poshtë:

  • shell dhe interactive_shell për ekzekutim të drejtpërdrejtë të komandave dhe akses interaktiv
  • explorer, explorer_cat, explorer_delete, explorer_upload dhe explorer_download për operacionet e skedarëve dhe direktorive
  • sistem për mbledhjen e informacionit të hostit
  • change_timefile për të ndryshuar vulat kohore të skedarëve
  • socket_quick_startstreams për të nisur një proxy SOCKS5
  • start_in_port_forward dhe stop_in_port për të menaxhuar përçimin e portave

CVE-2025-55182 dhe Armatosja me Shumë Grupe

Aktiviteti më i gjerë përkon me shfrytëzimin e përhapur të CVE-2025-55182, një dobësi React2Shell të cilës i është caktuar një rezultat maksimal CVSS prej 10.0. Të paktën pesë grupe kërcënimesh të lidhura me Kinën janë vërejtur duke e përdorur këtë të metë për të shpërndarë një gamë të larmishme ngarkesash, duke përfshirë mjete tunelimi, shkarkues dhe dyer të shumëfishta të pasme Linux. Midis tyre ishin MINOCAT, SNOWLIGHT, COMPOOD, një variant i përditësuar i HISONIC që përzihet në trafik legjitim duke përdorur Cloudflare Pages dhe GitLab, dhe një version Linux i ANGRYREBEL, i njohur edhe si Noodle RAT.

Abuzimi pas Shfrytëzimit dhe Diversiteti i Ngarkesës së Pagës

Pasi arrijnë ekzekutimin fillestar të kodit, sulmuesit zakonisht ekzekutojnë komanda arbitrare për të thelluar ndikimin e tyre. Kjo përfshin krijimin e shell-eve të kundërta në infrastrukturën e njohur të Cobalt Strike, vendosjen e mjeteve të monitorimit dhe menaxhimit në distancë, siç është MeshAgent, ndryshimin e skedarit authorized_keys dhe aktivizimin e hyrjeve direkte si root. Ngarkesa të tjera të vërejtura gjatë këtyre operacioneve përfshijnë VShell, EtherRAT, ShadowPad, XMRig dhe vendosje të përsëritura të SNOWLIGHT.

Për të shmangur zbulimin, fushatat shpesh mbështeten në pikat fundore të Tunnelit Cloudflare nën domenin trycloudflare.com, duke lejuar që trafiku i komandës dhe kontrollit të përzihet me shërbimet legjitime. Më pas kryhet një zbulim i gjerë për të hartëzuar mjedisin, për të mbështetur lëvizjen anësore dhe për të identifikuar kredencialet e vlefshme.

Mbledhja e kredencialeve në cloud dhe zbulimi sekret

Një fokus kryesor i këtyre sulmeve është vjedhja e kredencialeve brenda mjediseve cloud. Aktorët kërcënues janë vërejtur duke kërkuar shërbime të meta të dhënave të instancës për Azure, AWS, Google Cloud Platform dhe Tencent Cloud në një përpjekje për të marrë tokena identiteti dhe për të zgjeruar aksesin e tyre. Ata gjithashtu vendosin mjete skanimi sekrete si TruffleHog dhe Gitleaks, së bashku me skripte të personalizuara, për të nxjerrë materiale të ndjeshme. Kjo përfshin përpjekjet për të vjedhur kredencialet e IA-së dhe cloud-native si çelësat OpenAI API, tokenat Databricks, sekretet e llogarisë së shërbimit Kubernetes dhe tokenat e aksesit të marra përmes mjeteve Azure CLI dhe Azure Developer CLI.

Shfrytëzimi i Next.js dhe Ekfiltrimi i të Dhënave

Në një fushatë të lidhur me këtë, studiuesit dokumentuan shfrytëzimin e disa të metave të Next.js, duke përfshirë CVE-2025-29927 dhe CVE-2025-66478, ky i fundit duke qenë një identifikues më i hershëm për të njëjtin problem React2Shell. Këto sulme u përqendruan në nxjerrjen sistematike të skedarëve të konfigurimit, variablave të mjedisit, çelësave SSH, kredencialeve të cloud, të dhënave të vërtetimit Git, historikut të komandave të shell dhe skedarëve të ndjeshëm të sistemit si passwd dhe shadow. Malware gjithashtu krijon persistencë, instalon një proxy SOCKS5, hap një reverse shell në 67.217.57.240 në portin 888 dhe vendos një skaner React për të kërkuar në internet për objektiva të tjerë të cenueshëm.

Operacioni PCPcat: Shkalla dhe Ndikimi

Aktiviteti i kombinuar, i ndjekur nën emrin Operacioni PCPcat, besohet se ka kompromentuar tashmë 59,128 servera. Analistët e vlerësojnë fushatën si treguese të mbledhjes së inteligjencës në shkallë të gjerë dhe nxjerrjes së të dhënave të industrializuara. Matjet aktuale sugjerojnë se më shumë se 111,000 adresa IP mbeten të ndjeshme ndaj shfrytëzimit të React2Shell, me përqendrimin më të lartë në Shtetet e Bashkuara, të ndjekura nga Gjermania, Franca dhe India. Telemetria e mbledhur tregon më tej se qindra adresa IP keqdashëse në rajone të tilla si SHBA-ja, India, Mbretëria e Bashkuar, Singapori dhe Holanda kanë marrë pjesë aktive në përpjekjet e shfrytëzimit brenda një periudhe të vetme 24-orëshe.

Në trend

Më e shikuara

Po ngarkohet...