React2Shell漏洞
安全研究人员已证实,名为 React2Shell 的严重漏洞正被多个威胁行为者积极利用,以入侵基于 Linux 的系统。该漏洞正被用于部署多个恶意软件家族,其中最值得注意的是 KSwapDoor 和 ZnDoor,从而实现对受影响环境的深度和持久访问。此次持续的攻击凸显了高影响应用程序漏洞一旦被披露,便会迅速被利用。
目录
KSwapDoor:一款隐蔽性强的Linux后门
KSwapDoor 是一款精心设计的远程访问工具,旨在长时间保持隐蔽。它会建立一个内部网状网络,使受感染的服务器能够相互通信,帮助攻击者绕过边界防御,并在个别节点被封锁的情况下保持网络弹性。其网络流量采用强加密保护,大大增加了检查和检测的难度。它最令人担忧的功能之一是休眠或“潜伏”状态,该状态允许恶意软件保持不活动状态,直到接收到隐蔽的触发信号才会重新激活,从而有效地绕过防火墙控制。
研究人员澄清,KSwapDoor 此前被误认为是 BPFDoor。实际上,它是一个 Linux 后门程序,支持交互式 shell 访问、任意命令执行、文件操作以及横向移动扫描。为了更好地伪装,它还伪装成合法的 Linux 内核交换守护进程,从而降低了在例行系统监控中引起怀疑的可能性。
ZnDoor针对日本机构的营销活动
与此同时,日本的一些组织也成为了利用 React2Shell 传播 ZnDoor 的攻击目标。这种远程访问木马至少从 2023 年 12 月起就已在实际环境中出现。这些入侵通常始于一个简单的 bash 命令,该命令使用 wget 从远程服务器 45.76.155.14 下载有效载荷,然后在本地执行。
安装完成后,ZnDoor 会连接到攻击者控制的基础设施,接收指令并执行操作。它的功能非常强大,能够完全控制受感染的主机,如下所支持的命令集所示:
- shell 和 interactive_shell 用于直接命令执行和交互式访问
- explorer、explorer_cat、explorer_delete、explorer_upload 和 explorer_download 用于文件和目录操作
- 用于收集主机信息的系统
- change_timefile 用于修改文件时间戳
- 使用 socket_quick_startstreams 启动 SOCKS5 代理
- start_in_port_forward 和 stop_in_port 用于管理端口转发
CVE-2025-55182 和多组武器化
这一更广泛的活动与 CVE-2025-55182 的广泛利用相吻合。CVE-2025-55182 是一个 React2Shell 漏洞,其 CVSS 评分最高为 10.0。至少有五个与中国有关联的威胁组织被发现利用此漏洞传播各种有效载荷,包括隧道工具、下载器和多个 Linux 后门。其中包括 MINOCAT、SNOWLIGHT、COMPOOD、一种利用 Cloudflare Pages 和 GitLab 伪装成合法流量的 HISONIC 更新变种,以及 ANGRYREBEL 的 Linux 版本(也称为 Noodle RAT)。
后剥削滥用和有效载荷多样性
在获得初始代码执行权限后,攻击者通常会执行任意命令来加深控制。这包括建立指向已知 Cobalt Strike 基础设施的反向 shell、部署远程监控和管理工具(例如 MeshAgent)、修改 authorized_keys 文件以及启用直接 root 登录。在这些操作中还发现了其他有效载荷,例如 VShell、EtherRAT、ShadowPad、XMRig 以及反复部署 SNOWLIGHT。
为了逃避检测,这些攻击活动通常依赖于 trycloudflare.com 域名下的 Cloudflare Tunnel 端点,使命令控制流量能够混入合法服务中。随后,攻击者会进行广泛的侦察,以绘制环境图、支持横向移动并识别有价值的凭证。
云凭证收集和秘密发现
这些攻击的主要目标是窃取云环境中的凭证。攻击者会查询 Azure、AWS、Google Cloud Platform 和腾讯云的实例元数据服务,试图获取身份令牌并扩大其访问权限。他们还会部署 TruffleHog 和 Gitleaks 等密钥扫描工具以及自定义脚本来提取敏感信息。这包括试图窃取 AI 和云原生凭证,例如 OpenAI API 密钥、Databricks 令牌、Kubernetes 服务帐户密钥以及通过 Azure CLI 和 Azure Developer CLI 工具获取的访问令牌。
Next.js漏洞利用和数据泄露
在另一起相关攻击活动中,研究人员记录了对多个 Next.js 漏洞的利用,包括 CVE-2025-29927 和 CVE-2025-66478,后者是同一个 React2Shell 漏洞的早期编号。这些攻击主要集中于系统性地提取配置文件、环境变量、SSH 密钥、云凭证、Git 身份验证数据、shell 命令历史记录以及敏感系统文件(例如 passwd 和 shadow)。该恶意软件还会建立持久化存储,安装 SOCKS5 代理,打开一个指向 67.217.57.240 端口 888 的反向 shell,并部署一个 React 扫描器来搜索互联网上其他易受攻击的目标。
PCPcat行动:规模和影响
这项名为“PCPcat行动”的联合攻击活动据信已入侵59,128台服务器。分析人士认为,此次攻击活动表明存在大规模情报收集和工业化数据窃取行为。目前的数据显示,超过111,000个IP地址仍易受React2Shell攻击,其中美国IP地址最为集中,其次是德国、法国和印度。收集到的遥测数据进一步表明,在短短24小时内,来自美国、印度、英国、新加坡和荷兰等地区的数百个恶意IP地址积极参与了攻击尝试。
