Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Güvenlik Açığı React2Shell Güvenlik Açığı

React2Shell Güvenlik Açığı

Mezo'de Güvenlik Açığı, Gelişmiş Sürekli Tehdit (APT), Kötü amaçlı yazılım'de
Çevir:

Güvenlik araştırmacıları, React2Shell olarak bilinen kritik güvenlik açığının, Linux tabanlı sistemleri tehlikeye atmak için birden fazla tehdit aktörü tarafından aktif olarak kötüye kullanıldığını doğruladı. Bu güvenlik açığı, özellikle KSwapDoor ve ZnDoor olmak üzere çeşitli kötü amaçlı yazılım ailelerini yaymak için kullanılıyor ve etkilenen ortamlara derin ve kalıcı erişim sağlıyor. Devam eden bu istismar, yüksek etkili uygulama güvenlik açıklarının ortaya çıkarıldıktan sonra ne kadar hızlı bir şekilde kullanıma sokulduğunu vurguluyor.

KSwapDoor: Gizliliğe Odaklı Bir Linux Arka Kapı Yazılımı

KSwapDoor, uzun süre gizli kalacak şekilde özenle tasarlanmış bir uzaktan erişim aracıdır. Virüs bulaşmış sunucuların birbirleriyle iletişim kurmasına olanak tanıyan dahili bir ağ oluşturur; bu da saldırganların çevre savunmalarını atlatmalarına ve bireysel düğümler engellendiğinde bile dayanıklılıklarını korumalarına yardımcı olur. Ağ trafiği güçlü şifreleme ile korunmaktadır, bu da inceleme ve tespiti önemli ölçüde zorlaştırır. En endişe verici özelliklerinden biri de, kötü amaçlı yazılımın gizli bir tetikleyici alana kadar etkin olmamasına olanak tanıyan ve güvenlik duvarı kontrollerini etkili bir şekilde atlatan uyku veya 'uyku' durumudur.

Araştırmacılar, KSwapDoor'un daha önce BPFDoor olarak yanlış tanımlandığını açıkladı. Gerçekte, etkileşimli kabuk erişimini, rastgele komut yürütmeyi, dosya manipülasyonunu ve yatay hareket fırsatlarını taramayı destekleyen bir Linux arka kapısıdır. Daha da gizlenmek için, meşru bir Linux çekirdek takas hizmeti gibi davranarak, rutin sistem izleme sırasında şüphe uyandırma olasılığını azaltır.

ZnDoor’un Japon Kuruluşlarını Hedef Alan Kampanyaları

Buna paralel olarak, Japonya'daki kuruluşlar, ZnDoor'u yaymak için React2Shell'i kullanan saldırıların hedefi haline geldi. Bu uzaktan erişim truva atı, en az Aralık 2023'ten beri gerçek dünyada gözlemlenmiştir. Bu saldırılar genellikle, wget kullanarak 45.76.155.14 adresindeki uzak bir sunucudan zararlı yazılımı alan ve ardından yerel olarak çalıştıran basit bir bash komutuyla başlar.

Kurulduktan sonra, ZnDoor, talimatları almak ve bunlara göre hareket etmek için saldırganın kontrolündeki altyapıya geri bağlanır. İşlevselliği geniştir ve aşağıda desteklenen komut kümesinde gösterildiği gibi, ele geçirilen ana bilgisayar üzerinde tam kontrol sağlar:

  • shell ve interactive_shell, doğrudan komut yürütme ve etkileşimli erişim için kullanılır.
  • Dosya ve dizin işlemleri için explorer, explorer_cat, explorer_delete, explorer_upload ve explorer_download fonksiyonları kullanılır.
  • ev sahibi bilgilerini toplama sistemi
  • dosya zaman damgalarını değiştirmek için `change_timefile` komutu kullanılır.
  • `socket_quick_startstreams`, bir SOCKS5 proxy'sini başlatmak için kullanılır.
  • port yönlendirmeyi yönetmek için start_in_port_forward ve stop_in_port komutlarını kullanın.

CVE-2025-55182 ve Çoklu Grup Silahlandırması

Bu daha geniş kapsamlı faaliyet, maksimum CVSS puanı 10.0 olan React2Shell güvenlik açığı CVE-2025-55182'nin yaygın olarak istismar edilmesiyle aynı zamana denk geliyor. En az beş Çin bağlantılı tehdit grubunun, tünelleme araçları, indirme programları ve çok sayıda Linux arka kapısı da dahil olmak üzere çeşitli zararlı yazılımları dağıtmak için bu güvenlik açığını silah olarak kullandığı gözlemlendi. Bunlar arasında MINOCAT, SNOWLIGHT, COMPOOD, Cloudflare Pages ve GitLab kullanarak meşru trafiğe karışan güncellenmiş bir HISONIC varyantı ve Noodle RAT olarak da bilinen ANGRYREBEL'in Linux sürümü yer alıyor.

Sömürü Sonrası Kötüye Kullanım ve Yük Çeşitliliği

Saldırganlar, ilk kod yürütme erişimini elde ettikten sonra, yerlerini sağlamlaştırmak için genellikle rastgele komutlar çalıştırırlar. Bu, bilinen Cobalt Strike altyapısına ters kabuklar kurmayı, MeshAgent gibi uzaktan izleme ve yönetim araçlarını dağıtmayı, authorized_keys dosyasını değiştirmeyi ve doğrudan root oturum açmayı etkinleştirmeyi içerir. Bu işlemler sırasında görülen ek zararlı yazılımlar arasında VShell, EtherRAT, ShadowPad, XMRig ve SNOWLIGHT'ın tekrarlanan dağıtımları yer almaktadır.

Tespit edilmekten kaçınmak için, kampanyalar sıklıkla trycloudflare.com alan adı altındaki Cloudflare Tunnel uç noktalarına güvenerek, komuta ve kontrol trafiğinin meşru hizmetlerle karışmasını sağlar. Ardından, ortamı haritalamak, yatay hareketi desteklemek ve değerli kimlik bilgilerini belirlemek için kapsamlı keşif çalışmaları yürütülür.

Bulut Kimlik Bilgisi Toplama ve Gizli Bilgi Keşfi

Bu saldırıların en önemli odak noktalarından biri bulut ortamlarındaki kimlik bilgilerinin çalınmasıdır. Tehdit aktörlerinin, kimlik belirteçleri elde etmek ve erişimlerini genişletmek amacıyla Azure, AWS, Google Cloud Platform ve Tencent Cloud için örnek meta veri hizmetlerini sorguladıkları gözlemlenmiştir. Ayrıca, hassas materyalleri çıkarmak için TruffleHog ve Gitleaks gibi gizli tarama araçlarının yanı sıra özel komut dosyaları da kullanmaktadırlar. Bu, OpenAI API anahtarları, Databricks belirteçleri, Kubernetes hizmet hesabı sırları ve Azure CLI ve Azure Developer CLI araçları aracılığıyla elde edilen erişim belirteçleri gibi yapay zeka ve bulut tabanlı kimlik bilgilerini çalma girişimlerini de içermektedir.

Next.js İstismarı ve Veri Sızdırma

İlgili bir kampanyada, araştırmacılar CVE-2025-29927 ve CVE-2025-66478 de dahil olmak üzere birden fazla Next.js açığının istismarını belgeledi; ikincisi, aynı React2Shell sorunu için daha önceki bir tanımlayıcıdır. Bu saldırılar, yapılandırma dosyalarını, ortam değişkenlerini, SSH anahtarlarını, bulut kimlik bilgilerini, Git kimlik doğrulama verilerini, kabuk komut geçmişini ve passwd ve shadow gibi hassas sistem dosyalarını sistematik olarak çıkarmaya odaklandı. Kötü amaçlı yazılım ayrıca kalıcılık sağlar, bir SOCKS5 proxy'si kurar, 888 numaralı portta 67.217.57.240 adresine ters bir kabuk açar ve internette ek savunmasız hedefler aramak için bir React tarayıcısı kullanır.

PCPcat Operasyonu: Ölçek ve Etki

PCPcat Operasyonu adı altında takip edilen bu birleşik faaliyetin, halihazırda 59.128 sunucuyu tehlikeye attığı düşünülüyor. Analistler, bu kampanyayı büyük ölçekli istihbarat toplama ve endüstriyel veri sızdırma faaliyetinin göstergesi olarak değerlendiriyor. Mevcut ölçümler, 111.000'den fazla IP adresinin React2Shell istismarına karşı savunmasız kaldığını ve en yüksek yoğunluğun Amerika Birleşik Devletleri'nde, ardından Almanya, Fransa ve Hindistan'da olduğunu gösteriyor. Toplanan telemetri verileri ayrıca, ABD, Hindistan, İngiltere, Singapur ve Hollanda gibi bölgelerdeki yüzlerce kötü amaçlı IP adresinin tek bir 24 saatlik süre içinde istismar girişimlerine aktif olarak katıldığını gösteriyor.

trend

En çok görüntülenen

Yükleniyor...