React2Shell漏洞
安全研究人員已證實,名為 React2Shell 的嚴重漏洞正被多個威脅行為者積極利用,以入侵基於 Linux 的系統。該漏洞正被用於部署多種惡意軟體家族,其中最引人注目的是 KSwapDoor 和 ZnDoor,從而實現對受影響環境的深度和持久存取。這次持續的攻擊凸顯了高影響應用程式漏洞一旦被揭露,就會迅速被利用。
目錄
KSwapDoor:一款隱密的 Linux 後門
KSwapDoor 是一款精心設計的遠端存取工具,旨在長時間保持隱藏。它會建立一個內部網狀網絡,使受感染的伺服器能夠相互通信,幫助攻擊者繞過邊界防禦,並在個別節點被封鎖的情況下保持網路彈性。其網路流量採用強加密保護,大大增加了檢查和偵測的難度。它最令人擔憂的功能之一是休眠或「潛伏」狀態,該狀態允許惡意軟體保持不活動狀態,直到接收到隱藏的觸發訊號才會重新激活,從而有效地繞過防火牆控制。
研究人員澄清,KSwapDoor 先前被誤認為是 BPFDoor。實際上,它是一個 Linux 後門程序,支援互動式 shell 存取、任意命令執行、檔案操作以及橫向移動掃描。為了更好地偽裝,它還偽裝成合法的 Linux 核心交換守護進程,從而降低了在例行系統監控中引起懷疑的可能性。
ZnDoor針對日本代理商的行銷活動
同時,日本的一些組織也成為了利用 React2Shell 傳播 ZnDoor 的攻擊目標。這種遠端存取木馬至少從 2023 年 12 月起就已在實際環境中出現。這些入侵通常始於一個簡單的 bash 命令,該命令使用 wget 從遠端伺服器 45.76.155.14 下載有效載荷,然後在本地執行。
安裝完成後,ZnDoor 會連接到攻擊者控制的基礎設施,接收指示並執行操作。它的功能非常強大,能夠完全控制受感染的主機,如下所支援的命令集所示:
- shell 和 interactive_shell 用於直接命令執行和互動式訪問
- explorer、explorer_cat、explorer_delete、explorer_upload 和 explorer_download 用於檔案和目錄操作
- 用於收集主機資訊的系統
- change_timefile 用於修改檔案時間戳
- 使用 socket_quick_startstreams 啟動 SOCKS5 代理
- start_in_port_forward 和 stop_in_port 用於管理連接埠轉發
CVE-2025-55182 和多組武器化
這項更廣泛的活動與 CVE-2025-55182 的廣泛利用相吻合。 CVE-2025-55182 是一個 React2Shell 漏洞,其 CVSS 評分最高為 10.0。至少有五個與中國有關的威脅組織被發現利用此漏洞傳播各種有效載荷,包括隧道工具、下載器和多個 Linux 後門。其中包括 MINOCAT、SNOWLIGHT、COMPOOD、一種利用 Cloudflare Pages 和 GitLab 偽裝成合法流量的 HISONIC 更新變種,以及 ANGRYREBEL 的 Linux 版本(也稱為 Noodle RAT)。
後剝削濫用和有效載荷多樣性
在獲得初始程式碼執行權限後,攻擊者通常會執行任意命令來加深控制。這包括建立指向已知 Cobalt Strike 基礎架構的反向 shell、部署遠端監控和管理工具(例如 MeshAgent)、修改 authorized_keys 檔案以及啟用直接 root 登入。在這些操作中還發現了其他有效載荷,例如 VShell、EtherRAT、ShadowPad、XMRig 以及重複部署 SNOWLIGHT。
為了逃避偵測,這些攻擊活動通常依賴 trycloudflare.com 網域下的 Cloudflare Tunnel 端點,使指令控制流量能夠混入合法服務中。隨後,攻擊者會進行廣泛的偵察,以繪製環境圖、支援橫向移動並識別有價值的憑證。
雲端憑證收集和秘密發現
這些攻擊的主要目標是竊取雲端環境中的憑證。攻擊者會查詢 Azure、AWS、Google Cloud Platform 和騰訊雲端的執行個體元資料服務,試圖取得身分識別權杖並擴大其存取權限。他們還會部署 TruffleHog 和 Gitleaks 等金鑰掃描工具以及自訂腳本來提取敏感資訊。這包括試圖竊取 AI 和雲端原生憑證,例如 OpenAI API 金鑰、Databricks 令牌、Kubernetes 服務帳戶金鑰以及透過 Azure CLI 和 Azure Developer CLI 工具取得的存取權杖。
Next.js漏洞利用與資料外洩
在另一起相關攻擊活動中,研究人員記錄了對多個 Next.js 漏洞的利用,包括 CVE-2025-29927 和 CVE-2025-66478,後者是同一個 React2Shell 漏洞的早期編號。這些攻擊主要集中於系統性地提取設定檔、環境變數、SSH 金鑰、雲端憑證、Git 驗證資料、shell 命令歷史記錄以及敏感系統檔案(例如 passwd 和 shadow)。該惡意軟體還會建立持久化存儲,安裝 SOCKS5 代理,打開一個指向 67.217.57.240 端口 888 的反向 shell,並部署一個 React 掃描器來搜索互聯網上其他易受攻擊的目標。
PCPcat行動:規模與影響
這項名為「PCPcat行動」的聯合攻擊活動據信已入侵59,128台伺服器。分析家認為,這次攻擊活動顯示存在大規模情報收集和工業化資料竊取行為。目前的資料顯示,超過111,000個IP位址仍易受React2Shell攻擊,其中美國IP位址最為集中,其次是德國、法國和印度。收集到的遙測數據進一步表明,在短短24小時內,來自美國、印度、英國、新加坡和荷蘭等地區的數百個惡意IP位址積極參與了攻擊嘗試。
