Попуст за више лиценци
Тхреат Датабасе Рањивост Рањивост React2Shell-а

Рањивост React2Shell-а

До Mezo. у Рањивост, Напредна трајна претња (АПТ), Малваре
Преведи на:

Истраживачи безбедности су потврдили да критичну рањивост познату као React2Shell активно злоупотребљавају бројни актери претње како би компромитовали системе засноване на Linux-у. Рана се користи за постављање неколико породица злонамерних програма, а најзначајнији су KSwapDoor и ZnDoor, омогућавајући дубок и трајан приступ погођеним окружењима. Текућа експлоатација истиче колико брзо се оперативно активирају мане апликација са великим утицајем након што се открију.

KSwapDoor: Прикривени Linux бекдор

KSwapDoor је пажљиво пројектован алат за даљински приступ направљен да остане скривен током дужег временског периода. Он успоставља интерну мрежу која омогућава зараженим серверима да комуницирају једни са другима, помажући нападачима да заобиђу периметралну одбрану и одрже отпорност ако су појединачни чворови блокирани. Његов мрежни саобраћај је заштићен јаком енкрипцијом, што знатно отежава инспекцију и откривање. Једна од његових најзабрињавајућих могућности је стање мировања или „спавања“, које омогућава злонамерном софтверу да остане неактиван док не добије скривени окидач који га поново активира, ефикасно заобилазећи контроле заштитног зида.

Истраживачи су појаснили да је KSwapDoor претходно погрешно идентификован као BPFDoor. У стварности, то је Линуксов бекдор који подржава интерактивни приступ шкољци, произвољно извршавање команди, манипулацију датотекама и скенирање у потрази за могућностима бочног кретања. Да би се додатно уклопио, маскира се као легитимни демон за замену језгра Линукса, смањујући вероватноћу изазивања сумње током рутинског праћења система.

ZnDoor кампање усмерене на јапанске организације

Паралелно са тим, организације у Јапану су биле мета напада који користе React2Shell за испоруку ZnDoor-а. Овај тројански коњ за удаљени приступ је примећен у стварним активностима најмање од децембра 2023. Ови упади обично почињу једноставном bash командом која преузима корисни терет са удаљеног сервера на 45.76.155.14 користећи wget, а затим га извршава локално.

Једном инсталиран, ZnDoor се поново повезује са инфраструктуром коју контролише нападач како би примао инструкције и деловао на основу њих. Његова функционалност је широка и омогућава потпуну контролу над угроженим хостом, као што је илустровано подржаним скупом команди у наставку:

  • shell и interactive_shell за директно извршавање команди и интерактивни приступ
  • explorer, explorer_cat, explorer_delete, explorer_upload и explorer_download за операције са датотекама и директоријумима
  • систем за прикупљање информација о хосту
  • change_timefile за промену временских ознака датотеке
  • socket_quick_startstreams за покретање SOCKS5 проксија
  • start_in_port_forward и stop_in_port за управљање преусмеравањем портова

CVE-2025-55182 и наоружавање више група

Шира активност се поклапа са широко распрострањеном експлоатацијом CVE-2025-55182, рањивости React2Shell-а којој је додељена максимална CVSS оцена од 10,0. Примећено је да најмање пет претњи повезаних са Кином користе ову грешку као оружје за дистрибуцију разноврсног спектра корисних садржаја, укључујући алате за тунелирање, преузимаче и вишеструке задње вратице за Линукс. Међу њима су били MINOCAT, SNOWLIGHT, COMPOOD, ажурирана варијанта HISONIC која се стапа са легитимним саобраћајем користећи Cloudflare Pages и GitLab, и Линукс верзија ANGRYREBEL-а, познате и као Noodle RAT.

Злоупотреба након експлоатације и разноликост корисног оптерећења

Након што стекну почетно извршавање кода, нападачи обично покрећу произвољне команде како би продубили своје упориште. Ово укључује успостављање обрнутих шкољки ка познатој инфраструктури Cobalt Strike-а, распоређивање алата за даљинско праћење и управљање као што је MeshAgent, измену датотеке authorized_keys и омогућавање директног пријављивања root-а. Додатни корисни терет који се види током ових операција укључује VShell, EtherRAT, ShadowPad, XMRig и поновљена распоређивања SNOWLIGHT-а.

Да би избегле откривање, кампање се често ослањају на крајње тачке Cloudflare тунела под доменом trycloudflare.com, омогућавајући да се саобраћај командовања и контроле стопи са легитимним услугама. Затим се спроводи опсежно извиђање како би се мапирало окружење, подржало бочно кретање и идентификовали вредни акредитиви.

Прикупљање акредитива у облаку и откривање тајних података

Главни фокус ових напада је крађа акредитива у облачним окружењима. Примећено је да актери претњи испитују сервисе метаподатака инстанци за Azure, AWS, Google Cloud Platform и Tencent Cloud у настојању да добију токене идентитета и прошире свој приступ. Такође користе алате за скенирање тајни као што су TruffleHog и Gitleaks, заједно са прилагођеним скриптама, како би извукли осетљиви материјал. Ово укључује покушаје крађе акредитива за вештачку интелигенцију и акредитива за облак, као што су OpenAI API кључеви, Databricks токени, тајне Kubernetes сервисних налога и токени за приступ добијени путем Azure CLI и Azure Developer CLI алата.

Експлоатација Next.js-а и крађа података

У повезаној кампањи, истраживачи су документовали експлоатацију вишеструких пропуста у Next.js-у, укључујући CVE-2025-29927 и CVE-2025-66478, при чему је овај други ранији идентификатор за исти проблем са React2Shell-ом. Ови напади су се фокусирали на систематско издвајање конфигурационих датотека, променљивих окружења, SSH кључева, акредитива за облак, података за аутентификацију Git-а, историје команди шелла и осетљивих системских датотека као што су passwd и shadow. Злонамерни софтвер такође успоставља перзистентност, инсталира SOCKS5 прокси, отвара обрнути шел на 67.217.57.240 на порту 888 и покреће React скенер за претрагу интернета у потрази за додатним рањивим циљевима.

Операција PCPcat: Обим и утицај

Верује се да је комбинована активност, праћена под називом Операција PCPcat, већ угрозила 59.128 сервера. Аналитичари процењују кампању као показатељ прикупљања обавештајних података великих размера и индустријализоване крађе података. Тренутна мерења указују на то да је више од 111.000 IP адреса и даље рањиво на експлоатацију React2Shell-а, са највећом концентрацијом у Сједињеним Државама, а затим у Немачкој, Француској и Индији. Прикупљена телеметрија додатно указује на то да су стотине злонамерних IP адреса у регионима као што су САД, Индија, Велика Британија, Сингапур и Холандија активно учествовале у покушајима експлоатације у року од једног 24-часовног периода.

У тренду

Злонамерни софтвер EtherRAT

Алати за удаљену администрацију, Напредна трајна претња (АПТ)
Верује се да недавно откривена кампања претњи повезана са севернокорејским оператерима искоришћава критичну рањивост React2Shell (RSC) за постављање раније невиђеног тројанца за даљински приступ...

Ћиаоксп Крамв Утилс

Потенцијално нежељени програми, Адваре, Отмичари претраживача
Заштита ваших уређаја од наметљивих и непоузданих потенцијално нежељених програма (ПУП) је кључна. ПУП-ови, иако нису увек класификовани као прави малвер, могу угрозити безбедност, приватност и...

Најгледанији

Злонамерних програма

Пецање, Спам
30,370
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...