ช่องโหว่ React2Shell

นักวิจัยด้านความปลอดภัยยืนยันแล้วว่า ช่องโหว่ร้ายแรงที่รู้จักกันในชื่อ React2Shell กำลังถูกกลุ่มผู้คุกคามหลายรายใช้ประโยชน์ในการโจมตีระบบปฏิบัติการลินุกซ์ ช่องโหว่นี้ถูกนำไปใช้ในการแพร่กระจายมัลแวร์หลายตระกูล โดยเฉพาะอย่างยิ่ง KSwapDoor และ ZnDoor ซึ่งทำให้สามารถเข้าถึงสภาพแวดล้อมที่ได้รับผลกระทบได้อย่างลึกซึ้งและต่อเนื่อง การโจมตีที่เกิดขึ้นอย่างต่อเนื่องนี้แสดงให้เห็นว่า ช่องโหว่ของแอปพลิเคชันที่มีผลกระทบสูงนั้นถูกนำไปใช้งานได้อย่างรวดเร็วเพียงใดเมื่อมีการเปิดเผยออกมา

KSwapDoor: แบ็กดอร์สำหรับ Linux ที่เน้นการซ่อนตัว

KSwapDoor เป็นเครื่องมือเข้าถึงระยะไกลที่ได้รับการออกแบบมาอย่างพิถีพิถัน เพื่อให้สามารถซ่อนตัวได้เป็นเวลานาน มันสร้างเครือข่ายแบบตาข่ายภายในที่ช่วยให้เซิร์ฟเวอร์ที่ติดไวรัสสามารถสื่อสารกันได้ ช่วยให้ผู้โจมตีสามารถหลีกเลี่ยงการป้องกันรอบนอกและรักษาความสามารถในการทำงานต่อไปได้แม้ว่าโหนดใดโหนดหนึ่งจะถูกบล็อกก็ตาม การรับส่งข้อมูลในเครือข่ายได้รับการปกป้องด้วยการเข้ารหัสที่แข็งแกร่ง ทำให้การตรวจสอบและการตรวจจับทำได้ยากขึ้นอย่างมาก หนึ่งในความสามารถที่น่ากังวลที่สุดคือสถานะแฝงหรือ 'สถานะหลับใหล' ซึ่งช่วยให้มัลแวร์ยังคงไม่ทำงานจนกว่าจะได้รับการกระตุ้นอย่างลับๆ ที่จะเปิดใช้งานมันอีกครั้ง ซึ่งเป็นการหลีกเลี่ยงการควบคุมของไฟร์วอลล์อย่างมีประสิทธิภาพ

นักวิจัยชี้แจงว่าก่อนหน้านี้ KSwapDoor ถูกระบุผิดว่าเป็น BPFDoor ในความเป็นจริงแล้ว มันคือแบ็กดอร์ของ Linux ที่รองรับการเข้าถึงเชลล์แบบโต้ตอบ การเรียกใช้คำสั่งตามอำเภอใจ การจัดการไฟล์ และการสแกนหาโอกาสในการเคลื่อนย้ายไปยังส่วนอื่น ๆ ของระบบ เพื่อความกลมกลืนยิ่งขึ้น มันปลอมตัวเป็นเดมอนสวอปเคอร์เนลของ Linux ที่ถูกต้องตามกฎหมาย ลดโอกาสที่จะทำให้เกิดความสงสัยในระหว่างการตรวจสอบระบบตามปกติ

แคมเปญของ ZnDoor ที่มุ่งเป้าไปที่องค์กรในญี่ปุ่น

ในขณะเดียวกัน องค์กรต่างๆ ในญี่ปุ่นก็ตกเป็นเป้าหมายของการโจมตีที่ใช้ประโยชน์จาก React2Shell ในการส่ง ZnDoor ซึ่งเป็นมัลแวร์ประเภทโทรจันสำหรับการเข้าถึงระยะไกล โดยพบว่ามีการใช้งานจริงมาตั้งแต่เดือนธันวาคม 2023 เป็นอย่างน้อย การโจมตีเหล่านี้มักเริ่มต้นด้วยคำสั่ง bash ง่ายๆ ที่ดึงเพย์โหลดจากเซิร์ฟเวอร์ระยะไกลที่ 45.76.155.14 โดยใช้ wget แล้วจึงเรียกใช้เพย์โหลดนั้นในเครื่องโลคัล

เมื่อติดตั้งแล้ว ZnDoor จะเชื่อมต่อกลับไปยังโครงสร้างพื้นฐานที่ผู้โจมตีควบคุมอยู่ เพื่อรับคำสั่งและดำเนินการตามคำสั่งเหล่านั้น ฟังก์ชันการทำงานของมันกว้างขวางและช่วยให้สามารถควบคุมโฮสต์ที่ถูกบุกรุกได้อย่างสมบูรณ์ ดังแสดงในชุดคำสั่งที่รองรับด้านล่าง:

• shell และ interactive_shell สำหรับการเรียกใช้คำสั่งโดยตรงและการเข้าถึงแบบโต้ตอบ
• คำสั่ง explorer, explorer_cat, explorer_delete, explorer_upload และ explorer_download ใช้สำหรับดำเนินการกับไฟล์และไดเร็กทอรี
• ระบบสำหรับการรวบรวมข้อมูลโฮสต์
• คำสั่ง `change_timefile` ใช้สำหรับแก้ไขเวลาประทับของไฟล์
• ใช้คำสั่ง socket_quick_startstreams เพื่อเริ่มใช้งานพร็อกซี SOCKS5
• ใช้คำสั่ง start_in_port_forward และ stop_in_port เพื่อจัดการการส่งต่อพอร์ต

ช่องโหว่ CVE-2025-55182 และการโจมตีแบบหลายกลุ่ม

กิจกรรมในวงกว้างนี้สอดคล้องกับการใช้ประโยชน์จากช่องโหว่ CVE-2025-55182 ของ React2Shell อย่างแพร่หลาย ซึ่งมีคะแนน CVSS สูงสุดที่ 10.0 พบว่ามีกลุ่มผู้คุกคามที่ได้รับการสนับสนุนจากจีนอย่างน้อย 5 กลุ่ม ใช้ช่องโหว่นี้ในการเผยแพร่เพย์โหลดที่หลากหลาย รวมถึงเครื่องมือสร้างอุโมงค์ เครื่องมือดาวน์โหลด และแบ็กดอร์ Linux หลายตัว ในจำนวนนี้ได้แก่ MINOCAT, SNOWLIGHT, COMPOOD, HISONIC เวอร์ชันอัปเดตที่กลมกลืนกับทราฟฟิกที่ถูกต้องโดยใช้ Cloudflare Pages และ GitLab และ ANGRYREBEL เวอร์ชัน Linux หรือที่รู้จักกันในชื่อ Noodle RAT

การละเมิดหลังการแสวงหาประโยชน์และความหลากหลายของข้อมูลที่ส่งมา

หลังจากที่แฮ็กเกอร์สามารถเรียกใช้โค้ดได้ในเบื้องต้นแล้ว พวกเขามักจะเรียกใช้คำสั่งต่างๆ เพื่อขยายการควบคุมให้ลึกยิ่งขึ้น ซึ่งรวมถึงการสร้างรีเวิร์สเชลล์ไปยังโครงสร้างพื้นฐานของ Cobalt Strike ที่รู้จัก การติดตั้งเครื่องมือตรวจสอบและจัดการระยะไกล เช่น MeshAgent การแก้ไขไฟล์ authorized_keys และการเปิดใช้งานการเข้าสู่ระบบ root โดยตรง นอกจากนี้ เพย์โหลดเพิ่มเติมที่พบเห็นได้ในระหว่างการดำเนินการเหล่านี้ ได้แก่ VShell, EtherRAT, ShadowPad, XMRig และการติดตั้ง SNOWLIGHT ซ้ำๆ

เพื่อหลีกเลี่ยงการตรวจจับ แคมเปญเหล่านี้มักใช้ปลายทาง Cloudflare Tunnel ภายใต้โดเมน trycloudflare.com ซึ่งช่วยให้การรับส่งข้อมูลควบคุมและสั่งการกลมกลืนไปกับบริการที่ถูกต้องตามกฎหมาย จากนั้นจึงดำเนินการสอดแนมอย่างละเอียดเพื่อสร้างแผนที่สภาพแวดล้อม สนับสนุนการเคลื่อนย้ายภายในเครือข่าย และระบุข้อมูลประจำตัวที่มีค่า

การรวบรวมข้อมูลประจำตัวบนคลาวด์และการค้นหาความลับ

เป้าหมายหลักของการโจมตีเหล่านี้คือการขโมยข้อมูลประจำตัวภายในสภาพแวดล้อมคลาวด์ ผู้โจมตีได้ทำการสอบถามบริการเมตาเดตาของอินสแตนซ์สำหรับ Azure, AWS, Google Cloud Platform และ Tencent Cloud เพื่อพยายามขอรับโทเค็นประจำตัวและขยายการเข้าถึง นอกจากนี้ พวกเขายังใช้เครื่องมือสแกนความลับ เช่น TruffleHog และ Gitleaks ควบคู่ไปกับสคริปต์ที่กำหนดเอง เพื่อดึงข้อมูลที่ละเอียดอ่อนออกมา ซึ่งรวมถึงความพยายามในการขโมยข้อมูลประจำตัวของ AI และคลาวด์เนทีฟ เช่น คีย์ API ของ OpenAI, โทเค็น Databricks, ความลับของบัญชีบริการ Kubernetes และโทเค็นการเข้าถึงที่ได้รับผ่านเครื่องมือ Azure CLI และ Azure Developer CLI

การโจมตีและการขโมยข้อมูลของ Next.js

ในการโจมตีที่เกี่ยวข้อง นักวิจัยได้บันทึกการใช้ประโยชน์จากช่องโหว่หลายจุดของ Next.js รวมถึง CVE-2025-29927 และ CVE-2025-66478 ซึ่ง CVE-2025-66478 เป็นรหัสระบุปัญหา React2Shell เดียวกันในเวอร์ชันก่อนหน้า การโจมตีเหล่านี้มุ่งเน้นไปที่การดึงไฟล์การกำหนดค่า ตัวแปรสภาพแวดล้อม คีย์ SSH ข้อมูลประจำตัวคลาวด์ ข้อมูลการตรวจสอบสิทธิ์ Git ประวัติคำสั่งเชลล์ และไฟล์ระบบที่สำคัญ เช่น passwd และ shadow อย่างเป็นระบบ มัลแวร์ยังสร้างการคงอยู่ ติดตั้งพร็อกซี SOCKS5 เปิดรีเวิร์สเชลล์ไปยัง 67.217.57.240 บนพอร์ต 888 และใช้งานสแกนเนอร์ React เพื่อค้นหาเป้าหมายที่มีช่องโหว่เพิ่มเติมบนอินเทอร์เน็ต

ปฏิบัติการ PCPcat: ขอบเขตและผลกระทบ

กิจกรรมโดยรวมที่ติดตามภายใต้ชื่อปฏิบัติการ PCPcat เชื่อว่าได้โจมตีเซิร์ฟเวอร์ไปแล้ว 59,128 เครื่อง นักวิเคราะห์ประเมินว่าแคมเปญนี้บ่งชี้ถึงการรวบรวมข้อมูลข่าวกรองขนาดใหญ่และการขโมยข้อมูลในระดับอุตสาหกรรม การวัดผลในปัจจุบันชี้ให้เห็นว่าที่อยู่ IP มากกว่า 111,000 แห่งยังคงเสี่ยงต่อการถูกโจมตีด้วย React2Shell โดยมีจำนวนมากที่สุดในสหรัฐอเมริกา รองลงมาคือเยอรมนี ฝรั่งเศส และอินเดีย ข้อมูลทางไกลที่รวบรวมได้ยังบ่งชี้ว่าที่อยู่ IP ที่เป็นอันตรายหลายร้อยแห่งในภูมิภาคต่างๆ เช่น สหรัฐอเมริกา อินเดีย สหราชอาณาจักร สิงคโปร์ และเนเธอร์แลนด์ ได้เข้าร่วมในการพยายามโจมตีภายในช่วงเวลา 24 ชั่วโมง