React2Shell漏洞被积极利用以部署Linux后门

根据Palo Alto Networks Unit 42和NTT Security的调查结果，名为React2Shell的安全漏洞正被威胁行为者利用来投放KSwapDoor和ZnDoor等恶意软件家族。

Palo Alto Networks Unit 42的威胁情报研究高级经理Justin Moore在一份声明中表示：“KSwapDoor是一款专业设计的远程访问工具，其设计以隐秘性为核心。它构建了一个内部网状网络，使被攻陷的服务器能够相互通信并规避安全封锁。它采用军用级加密来隐藏通信，并且最令人担忧的是，它具备一种‘休眠’模式，使攻击者能够通过秘密、无形的信号唤醒恶意软件，从而绕过防火墙。”

Moore告诉The Hacker News，该后门已在两个不同的地区和行业中被识别出来，并且根据恶意软件的代码结构、与以往Linux后门的功能重叠以及该地区对手使用的其他工具，这很可能是中国国家支持的行为者所为。

“这种有限的分布与复杂、定制工程的后门行为一致。”Moore补充道，“威胁行为者很少冒险在广泛的活动中暴露如此精心编写和设计的工具，相反，他们会保留这些工具用于精确、高价值的目标。”

这家网络安全公司指出，它先前被错误地归类为BPFDoor，并补充说，这个Linux后门提供交互式shell、命令执行、文件操作和横向移动扫描能力。它还会伪装成合法的Linux内核交换守护进程以规避检测。

据Moore说，最初将KSwapDoor误判为BPFDoor，源于使用了一种称为原始套接字嗅探的技术，该技术使得恶意软件家族能够直接从网络线路读取流量，而无需打开可见端口。值得注意的是，BPFDoor旨在创建一个特殊的包嗅探套接字，以监听具有特定Magic Byte序列的传入流量，从而触发其恶意行为。

“因为我们在KSwapDoor内部发现了这种特定的‘监听’代码，所以我们最初根据这个共同的签名将其标记为BPFDoor，”Moore解释道，“然而，实际情况是，KSwapDoor包含这种嗅探能力仅仅是作为一种休眠的备用进入方法；它的主要引擎实际上是一个复杂的点对点路由器，允许复杂的横向移动，这是BPFDoor完全不具备的能力。”

在相关进展中，NTT Security表示，日本的组织正成为利用React2Shell漏洞部署ZnDoor的网络攻击目标，该恶意软件据评估自2023年12月起在野外被检测到。攻击链涉及运行bash命令，使用wget从远程服务器（45.76.155[.]14）获取载荷并执行。

作为一种远程访问木马，它会联系同一个威胁行为者控制的基础设施以接收命令并在主机上执行。部分支持的命令如下：

• shell：执行命令
• interactive_shell：启动交互式shell
• explorer：获取目录列表
• explorer_cat：读取并显示文件
• explorer_delete：删除文件
• explorer_upload：从服务器下载文件
• explorer_download：向服务器发送文件
• system：收集系统信息
• change_timefile：更改文件的时间戳
• socket_quick_startstreams：启动SOCKS5代理
• start_in_port_forward：开始端口转发
• stop_in_port：停止端口转发

这一披露发布之际，该漏洞（追踪为CVE-2025-55182，CVSS评分：10.0）已被多个威胁行为者利用。Google识别出至少五个与中国有关联的组织已将其武器化，用于分发一系列载荷：

• UNC6600，用于投递名为MINOCAT的隧道工具
• UNC6586，用于投递名为SNOWLIGHT的下载器
• UNC6588，用于投递名为COMPOOD的后门
• UNC6603，用于投递名为HISONIC的Go后门更新版本，该后门使用Cloudflare Pages和GitLab检索加密配置并与合法网络活动混合
• UNC6595，用于投递ANGRYREBEL（又名Noodle RAT）的Linux版本

微软在其关于CVE-2025-55182的公告中表示，威胁行为者已利用该漏洞运行任意命令进行后期利用，包括设置连接到已知Cobalt Strike服务器的反向shell，然后投放远程监控和管理工具（如MeshAgent）、修改authorized_keys文件以及启用root登录。

这些攻击中投递的部分载荷包括VShell、EtherRAT、SNOWLIGHT、ShadowPad和XMRig。攻击的特点还包括使用Cloudflare Tunnel端点（*.trycloudflare.com）来逃避安全防御，以及对被攻陷的环境进行侦察，以促进横向移动和凭证窃取。

这家Windows制造商表示，凭证窃取活动以Azure、亚马逊网络服务（AWS）、谷歌云平台（GCP）和腾讯云的Azure实例元数据服务（IMDS）端点为目标，最终目的是获取身份令牌以深入云基础设施。

“攻击者还部署了秘密发现工具，如TruffleHog和Gitleaks，以及自定义脚本来提取多种不同的秘密。”微软Defender安全研究团队说，“还观察到试图窃取AI和云原生凭证的行为，例如OpenAI API密钥、Databricks令牌和Kubernetes服务账户凭证。攻击者也使用Azure命令行界面（az）和Azure开发者CLI（azd）来获取令牌。”

在Beelzebub详细描述的另一个活动中，观察到威胁行为者利用Next.js中的漏洞，包括CVE-2025-29927和CVE-2025-66478（在被拒绝为重复项之前，与React2Shell是同一个漏洞），以实现对凭证和敏感数据的系统性提取：

• 环境文件：.env, .env.local, .env.production, .env.development
• 系统环境变量：printenv, env
• SSH密钥：~/.ssh/id_rsa, ~/.ssh/id_ed25519, /root/.ssh/*
• 云凭证：~/.aws/credentials, ~/.docker/config.json
• Git凭证：~/.git-credentials, ~/.gitconfig
• 命令历史记录（来自~/.bash_history的最后100条命令）
• 系统文件：/etc/shadow, /etc/passwd

该恶意软件还会继续在主机上建立持久性以在系统重启后存活、安装SOCKS5代理、建立到67.217.57[.]240:888的反向shell，并安装React扫描器以探测互联网进行进一步传播。

这项代号为“Operation PCPcat”的活动，估计已经攻陷了59,128台服务器。这家意大利公司表示：“该活动显示出大规模情报操作和工业级数据窃取的特征。”

Shadowserver Foundation目前正在追踪超过111,000个易受React2Shell攻击的IP地址，其中美国超过77,800例，其次是德国（7,500例）、法国（4,000例）和印度（2,300例）。GreyNoise的数据显示，在过去24小时内，有547个来自美国、印度、英国、新加坡和荷兰的恶意IP地址参与了利用活动。

（报道在发布后更新，增加了关于KSwapDoor的更多细节。）