Вразливість React2Shell
Дослідники з безпеки підтвердили, що критична вразливість, відома як React2Shell, активно використовується багатьма зловмисниками для компрометації систем на базі Linux. Цю вразливість використовують для розгортання кількох сімейств шкідливих програм, зокрема KSwapDoor та ZnDoor, що забезпечує глибокий та постійний доступ до уражених середовищ. Поточні випадки експлуатації демонструють, як швидко впроваджуються в дію високоефективні вразливості програм після їх виявлення.
Зміст
KSwapDoor: прихований бекдор для Linux
KSwapDoor — це ретельно розроблений інструмент віддаленого доступу, створений для того, щоб залишатися прихованим протягом тривалого часу. Він створює внутрішню мережу, яка дозволяє зараженим серверам взаємодіяти один з одним, допомагаючи зловмисникам обходити захист периметра та підтримувати стійкість, якщо окремі вузли заблоковані. Його мережевий трафік захищений надійним шифруванням, що значно ускладнює перевірку та виявлення. Однією з його найбільш тривожних можливостей є стан спокою або «сплячий» стан, який дозволяє шкідливому програмному забезпеченню залишатися неактивним, доки не отримає прихований тригер, який повторно активує його, ефективно обходячи елементи керування брандмауером.
Дослідники уточнили, що KSwapDoor раніше помилково ідентифікували як BPFDoor. Насправді це бекдор Linux, який підтримує інтерактивний доступ до оболонки, виконання довільних команд, маніпулювання файлами та сканування на наявність можливостей для горизонтального переміщення. Щоб ще більше злитися з натовпом, він маскується під легітимний демон підкачки ядра Linux, що зменшує ймовірність виникнення підозр під час звичайного моніторингу системи.
Кампанії ZnDoor, спрямовані на японські організації
Паралельно, організації в Японії стали ціллю атак, які використовують React2Shell для доставки ZnDoor. Цей троян віддаленого доступу спостерігається в реальній діяльності щонайменше з грудня 2023 року. Ці вторгнення зазвичай починаються з простої команди bash, яка отримує корисне навантаження з віддаленого сервера за адресою 45.76.155.14 за допомогою wget, а потім виконує його локально.
Після встановлення ZnDoor підключається до інфраструктури, контрольованої зловмисником, щоб отримувати інструкції та діяти відповідно до них. Його функціональність широка та забезпечує повний контроль над скомпрометованим хостом, як показано в наведеному нижче наборі підтримуваних команд:
- shell та interactive_shell для прямого виконання команд та інтерактивного доступу
- explorer, explorer_cat, explorer_delete, explorer_upload та explorer_download для операцій з файлами та каталогами
- система збору інформації про хоста
- change_timefile для зміни позначок часу файлів
- socket_quick_startstreams для запуску проксі-сервера SOCKS5
- start_in_port_forward та stop_in_port для керування переадресацією портів
CVE-2025-55182 та озброєння кількох груп
Ширша активність збігається з широкомасштабним використанням CVE-2025-55182, вразливості React2Shell, якій присвоєно максимальний бал CVSS 10.0. Було помічено, що щонайменше п'ять пов'язаних з Китаєм груп зловмисників використовують цю вразливість як зброю для розповсюдження різноманітного корисного навантаження, включаючи інструменти тунелювання, завантажувачі та численні бекдори для Linux. Серед них були MINOCAT, SNOWLIGHT, COMPOOD, оновлений варіант HISONIC, який інтегрується в легітимний трафік за допомогою Cloudflare Pages та GitLab, а також версія ANGRYREBEL для Linux, також відома як Noodle RAT.
Зловживання після експлуатації та різноманітність корисного навантаження
Після отримання початкового виконання коду зловмисники зазвичай виконують довільні команди для поглиблення своїх можливостей. Це включає створення зворотних оболонок для відомої інфраструктури Cobalt Strike, розгортання інструментів віддаленого моніторингу та управління, таких як MeshAgent, зміну файлу authorized_keys та активацію прямого входу root. Додаткові корисні навантаження, що спостерігаються під час цих операцій, включають VShell, EtherRAT, ShadowPad, XMRig та повторне розгортання SNOWLIGHT.
Щоб уникнути виявлення, кампанії часто покладаються на кінцеві точки тунелю Cloudflare під доменом trycloudflare.com, що дозволяє трафіку командного управління змішуватися з легітимними сервісами. Потім проводиться ретельна розвідка для картографування середовища, підтримки горизонтального переміщення та виявлення цінних облікових даних.
Збір хмарних облікових даних та виявлення секретних даних
Основним фокусом цих атак є крадіжка облікових даних у хмарних середовищах. Було помічено, що зловмисники запитують служби метаданих екземплярів для Azure, AWS, Google Cloud Platform та Tencent Cloud, намагаючись отримати токени ідентифікації та розширити свій доступ. Вони також використовують інструменти сканування секретів, такі як TruffleHog та Gitleaks, разом із користувацькими скриптами, для вилучення конфіденційних матеріалів. Це включає спроби викрасти облікові дані штучного інтелекту та хмарні облікові дані, такі як ключі API OpenAI, токени Databricks, секрети облікових записів служби Kubernetes та токени доступу, отримані за допомогою інструментів Azure CLI та Azure Developer CLI.
Експлуатація Next.js та витік даних
У відповідній кампанії дослідники задокументували використання кількох вразливостей Next.js, включаючи CVE-2025-29927 та CVE-2025-66478, остання з яких є ранішим ідентифікатором тієї ж проблеми React2Shell. Ці атаки були зосереджені на систематичному вилученні файлів конфігурації, змінних середовища, ключів SSH, хмарних облікових даних, даних автентифікації Git, історії команд оболонки та конфіденційних системних файлів, таких як passwd та shadow. Шкідливе програмне забезпечення також встановлює персистентність, встановлює проксі-сервер SOCKS5, відкриває зворотну оболонку для 67.217.57.240 на порту 888 та розгортає сканер React для пошуку в Інтернеті додаткових вразливих цілей.
Операція PCPcat: масштаб та вплив
Вважається, що спільна активність, що відстежується під назвою «Операція PCPcat», вже скомпрометувала 59 128 серверів. Аналітики оцінюють кампанію як ознаку масштабного збору розвідувальних даних та промислового витоку даних. Поточні вимірювання свідчать про те, що понад 111 000 IP-адрес залишаються вразливими до експлуатації React2Shell, з найбільшою концентрацією у Сполучених Штатах, далі йдуть Німеччина, Франція та Індія. Зібрана телеметрія також вказує на те, що сотні шкідливих IP-адрес у таких регіонах, як США, Індія, Велика Британія, Сінгапур та Нідерланди, активно брали участь у спробах експлуатації протягом одного 24-годинного періоду.
