Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Sự dễ bị tổn thương Lỗ hổng bảo mật React2Shell

Lỗ hổng bảo mật React2Shell

Đến năm Mezo năm Sự dễ bị tổn thương, Mối đe dọa dai dẳng nâng cao (APT), Phần mềm độc hại
Dịch sang:

Các nhà nghiên cứu bảo mật đã xác nhận rằng lỗ hổng nghiêm trọng mang tên React2Shell đang bị nhiều đối tượng tấn công lợi dụng để xâm nhập các hệ thống dựa trên Linux. Lỗ hổng này đang được khai thác để triển khai một số họ phần mềm độc hại, đáng chú ý nhất là KSwapDoor và ZnDoor, cho phép truy cập sâu và liên tục vào các môi trường bị ảnh hưởng. Việc khai thác đang diễn ra cho thấy các lỗ hổng ứng dụng có tác động lớn được đưa vào hoạt động nhanh chóng như thế nào sau khi được phát hiện.

KSwapDoor: Một phần mềm độc hại Linux tập trung vào khả năng hoạt động bí mật.

KSwapDoor là một công cụ truy cập từ xa được thiết kế tỉ mỉ để ẩn mình trong thời gian dài. Nó thiết lập một mạng lưới nội bộ cho phép các máy chủ bị nhiễm liên lạc với nhau, giúp kẻ tấn công vượt qua các biện pháp phòng thủ vòng ngoài và duy trì khả năng phục hồi nếu các nút riêng lẻ bị chặn. Lưu lượng mạng của nó được bảo vệ bằng mã hóa mạnh, khiến việc kiểm tra và phát hiện trở nên khó khăn hơn đáng kể. Một trong những khả năng đáng lo ngại nhất của nó là trạng thái ngủ đông, cho phép phần mềm độc hại duy trì trạng thái không hoạt động cho đến khi nhận được một tác nhân kích hoạt bí mật để kích hoạt lại, từ đó vượt qua hiệu quả các biện pháp kiểm soát của tường lửa.

Các nhà nghiên cứu đã làm rõ rằng KSwapDoor trước đây đã bị nhận dạng nhầm là BPFDoor. Trên thực tế, nó là một phần mềm cửa hậu Linux hỗ trợ truy cập shell tương tác, thực thi lệnh tùy ý, thao tác tập tin và quét tìm kiếm các cơ hội di chuyển ngang. Để hòa nhập hơn nữa, nó giả dạng như một trình nền hoán đổi nhân Linux hợp pháp, giảm khả năng gây nghi ngờ trong quá trình giám sát hệ thống thường xuyên.

Các chiến dịch của ZnDoor nhắm mục tiêu vào các tổ chức Nhật Bản

Song song đó, các tổ chức tại Nhật Bản đã trở thành mục tiêu của các cuộc tấn công khai thác React2Shell để phát tán ZnDoor. Trojan truy cập từ xa này đã được quan sát thấy trong hoạt động thực tế ít nhất từ tháng 12 năm 2023. Các cuộc xâm nhập này thường bắt đầu bằng một lệnh bash đơn giản để tải payload từ máy chủ từ xa tại 45.76.155.14 bằng wget và sau đó thực thi nó cục bộ.

Sau khi cài đặt, ZnDoor sẽ kết nối trở lại với cơ sở hạ tầng do kẻ tấn công kiểm soát để nhận chỉ thị và thực hiện chúng. Chức năng của nó rất rộng và cho phép kiểm soát hoàn toàn máy chủ bị xâm nhập, như minh họa trong bộ lệnh được hỗ trợ bên dưới:

  • shell và interactive_shell dùng để thực thi lệnh trực tiếp và truy cập tương tác.
  • explorer, explorer_cat, explorer_delete, explorer_upload và explorer_download dùng cho các thao tác với tệp và thư mục.
  • hệ thống thu thập thông tin máy chủ
  • change_timefile để thay đổi dấu thời gian của tệp
  • Sử dụng socket_quick_startstreams để khởi chạy proxy SOCKS5.
  • Sử dụng `start_in_port_forward` và `stop_in_port` để quản lý việc chuyển tiếp cổng.

CVE-2025-55182 và Vũ khí hóa đa nhóm

Hoạt động lan rộng này trùng khớp với việc khai thác triệt để lỗ hổng CVE-2025-55182, một lỗ hổng của React2Shell được xếp hạng CVSS tối đa là 10.0. Ít nhất năm nhóm tội phạm mạng liên kết với Trung Quốc đã được phát hiện sử dụng lỗ hổng này để phát tán nhiều loại phần mềm độc hại, bao gồm các công cụ tạo đường hầm, trình tải xuống và nhiều cửa hậu Linux. Trong số đó có MINOCAT, SNOWLIGHT, COMPOOD, một biến thể HISONIC được cập nhật có khả năng hòa lẫn vào lưu lượng truy cập hợp pháp bằng cách sử dụng Cloudflare Pages và GitLab, và một phiên bản Linux của ANGRYREBEL, còn được gọi là Noodle RAT.

Lạm dụng sau khai thác và sự đa dạng của tải trọng

Sau khi giành được quyền thực thi mã ban đầu, tin tặc thường chạy các lệnh tùy ý để củng cố vị thế của mình. Điều này bao gồm thiết lập các shell ngược đến cơ sở hạ tầng Cobalt Strike đã biết, triển khai các công cụ giám sát và quản lý từ xa như MeshAgent, sửa đổi tệp authorized_keys và cho phép đăng nhập trực tiếp với quyền root. Các payload bổ sung được phát hiện trong các hoạt động này bao gồm VShell, EtherRAT, ShadowPad, XMRig và việc triển khai SNOWLIGHT lặp đi lặp lại.

Để tránh bị phát hiện, các chiến dịch này thường dựa vào các điểm cuối Cloudflare Tunnel thuộc miền trycloudflare.com, cho phép lưu lượng điều khiển và kiểm soát hòa lẫn với các dịch vụ hợp pháp. Sau đó, hoạt động trinh sát quy mô lớn được thực hiện để lập bản đồ môi trường, hỗ trợ di chuyển ngang và xác định các thông tin đăng nhập có giá trị.

Thu thập thông tin xác thực đám mây và phát hiện bí mật

Mục tiêu chính của các cuộc tấn công này là đánh cắp thông tin đăng nhập trong môi trường điện toán đám mây. Các tác nhân đe dọa đã được quan sát thấy truy vấn các dịch vụ siêu dữ liệu phiên bản cho Azure, AWS, Google Cloud Platform và Tencent Cloud nhằm mục đích lấy được mã thông báo định danh và mở rộng quyền truy cập của chúng. Chúng cũng triển khai các công cụ quét bí mật như TruffleHog và Gitleaks, cùng với các tập lệnh tùy chỉnh, để trích xuất các tài liệu nhạy cảm. Điều này bao gồm các nỗ lực đánh cắp thông tin đăng nhập AI và điện toán đám mây như khóa API OpenAI, mã thông báo Databricks, bí mật tài khoản dịch vụ Kubernetes và mã thông báo truy cập thu được thông qua công cụ Azure CLI và Azure Developer CLI.

Khai thác lỗ hổng và đánh cắp dữ liệu trong Next.js

Trong một chiến dịch liên quan, các nhà nghiên cứu đã ghi nhận việc khai thác nhiều lỗ hổng của Next.js, bao gồm CVE-2025-29927 và CVE-2025-66478, trong đó CVE-66478 là mã định danh trước đó cho cùng một vấn đề React2Shell. Các cuộc tấn công này tập trung vào việc trích xuất một cách có hệ thống các tệp cấu hình, biến môi trường, khóa SSH, thông tin đăng nhập đám mây, dữ liệu xác thực Git, lịch sử lệnh shell và các tệp hệ thống nhạy cảm như passwd và shadow. Phần mềm độc hại cũng thiết lập khả năng duy trì hoạt động, cài đặt proxy SOCKS5, mở một shell ngược tới 67.217.57.240 trên cổng 888 và triển khai một trình quét React để tìm kiếm trên internet các mục tiêu dễ bị tổn thương khác.

Chiến dịch PCPcat: Quy mô và tác động

Hoạt động phối hợp, được theo dõi dưới tên gọi Chiến dịch PCPcat, được cho là đã xâm nhập vào 59.128 máy chủ. Các nhà phân tích đánh giá chiến dịch này là dấu hiệu của việc thu thập thông tin tình báo quy mô lớn và đánh cắp dữ liệu có tính chất công nghiệp. Các số liệu hiện tại cho thấy hơn 111.000 địa chỉ IP vẫn dễ bị khai thác bởi React2Shell, với mật độ tập trung cao nhất ở Hoa Kỳ, tiếp theo là Đức, Pháp và Ấn Độ. Dữ liệu thu thập được cũng cho thấy hàng trăm địa chỉ IP độc hại trên khắp các khu vực như Hoa Kỳ, Ấn Độ, Anh, Singapore và Hà Lan đã tích cực tham gia vào các nỗ lực khai thác trong vòng 24 giờ.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
30,370
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...