Lỗ hổng React2Shell đang bị khai thác triệt để để triển khai cửa hậu trên Linux

[T-X]

Theo kết quả nghiên cứu từ Palo Alto Networks Unit 42 và NTT Security, lỗ hổng bảo mật mang tên React2Shell đang bị các tác nhân đe dọa khai thác để phát tán các họ phần mềm độc hại như KSwapDoor và ZnDoor.

Justin Moore, quản lý cấp cao về nghiên cứu tình báo mối đe dọa tại Palo Alto Networks Unit 42, cho biết trong một tuyên bố: "KSwapDoor là một công cụ truy cập từ xa được thiết kế chuyên nghiệp với mục tiêu hoạt động bí mật."

"Nó xây dựng một mạng lưới nội bộ dạng lưới, cho phép các máy chủ bị xâm nhập giao tiếp với nhau và vượt qua các rào cản bảo mật. Nó sử dụng mã hóa cấp độ quân sự để che giấu thông tin liên lạc và, đáng báo động nhất, có chế độ 'ngủ đông' cho phép kẻ tấn công vượt qua tường lửa bằng cách đánh thức phần mềm độc hại bằng một tín hiệu bí mật, vô hình."

Công ty an ninh mạng lưu ý rằng trước đây nó đã bị phân loại nhầm là BPFDoor, đồng thời cho biết thêm rằng phần mềm độc hại Linux này cung cấp khả năng tương tác với shell, thực thi lệnh, thao tác tệp và quét di chuyển ngang. Nó cũng giả mạo một tiến trình hoán đổi nhân Linux hợp pháp để tránh bị phát hiện.

Trong một diễn biến liên quan, NTT Security cho biết các tổ chức tại Nhật Bản đang trở thành mục tiêu của các cuộc tấn công mạng khai thác React2Shell để triển khai ZnDoor, một phần mềm độc hại được đánh giá là đã xuất hiện trong thực tế từ tháng 12 năm 2023. Chuỗi tấn công bao gồm việc chạy lệnh bash để tải payload từ máy chủ từ xa (45.76.155[.]14) bằng wget và thực thi nó.

Đây là một loại mã độc Trojan truy cập từ xa, nó liên hệ với cùng một cơ sở hạ tầng do kẻ tấn công kiểm soát để nhận lệnh và thực thi chúng trên máy chủ. Một số lệnh được hỗ trợ được liệt kê bên dưới:

    shell, để thực thi một lệnh
    interactive_shell, để khởi chạy một shell tương tác
    trình duyệt tệp, để lấy danh sách các thư mục
    explorer_cat, dùng để đọc và hiển thị tệp tin.
    explorer_delete, để xóa một tập tin
    explorer_upload, để tải xuống một tập tin từ máy chủ.
    explorer_download, để gửi tập tin lên máy chủ
    hệ thống, để thu thập thông tin hệ thống
    change_timefile, để thay đổi dấu thời gian của một tệp.
    socket_quick_startstreams, để khởi động proxy SOCKS5
    start_in_port_forward, để bắt đầu chuyển tiếp cổng
    stop_in_port, để dừng chuyển tiếp cổng

Thông tin này được tiết lộ khi lỗ hổng bảo mật, được theo dõi với mã CVE-2025-55182 (điểm CVSS: 10.0), đã bị nhiều nhóm tội phạm mạng khai thác. Google đã xác định ít nhất năm nhóm có liên hệ với Trung Quốc đã sử dụng lỗ hổng này để phát tán nhiều loại mã độc khác nhau.

    UNC6600, để cung cấp tiện ích đường hầm có tên MINOCAT
    UNC6586, để cung cấp trình tải xuống có tên SNOWLIGHT
    UNC6588, nhằm mục đích cung cấp một phần mềm độc hại có tên COMPOOD.
    UNC6603, nhằm mục đích cung cấp phiên bản cập nhật của phần mềm độc hại Go có tên HISONIC, sử dụng Cloudflare Pages và GitLab để thu thập cấu hình được mã hóa và hòa lẫn vào hoạt động mạng hợp pháp.
    UNC6595, để cung cấp phiên bản Linux của ANGRYREBEL (hay còn gọi là Noodle RAT)

Trong thông báo của mình về lỗ hổng CVE-2025-55182, Microsoft cho biết các tác nhân đe dọa đã lợi dụng lỗ hổng này để thực thi các lệnh tùy ý nhằm mục đích khai thác sau đó, bao gồm thiết lập các shell đảo ngược đến các máy chủ Cobalt Strike đã biết, sau đó cài đặt các công cụ giám sát và quản lý từ xa (RMM) như MeshAgent, sửa đổi tệp authorized_keys và cho phép đăng nhập bằng quyền root.

Một số phần mềm độc hại được sử dụng trong các cuộc tấn công này bao gồm VShell, EtherRAT, SNOWLIGHT, ShadowPad và XMRig. Các cuộc tấn công này cũng đặc trưng bởi việc sử dụng các điểm cuối Cloudflare Tunnel ("*.trycloudflare.com") để né tránh các biện pháp phòng thủ an ninh, cũng như tiến hành trinh sát các môi trường bị xâm nhập để tạo điều kiện cho việc di chuyển ngang và đánh cắp thông tin đăng nhập.

Theo nhà sản xuất Windows, hoạt động thu thập thông tin xác thực này nhắm vào các điểm cuối của Dịch vụ Siêu dữ liệu Phiên bản Azure (IMDS) dành cho Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) và Tencent Cloud với mục đích cuối cùng là thu thập mã thông báo định danh để xâm nhập sâu hơn vào cơ sở hạ tầng đám mây.

Nhóm nghiên cứu bảo mật Microsoft Defender cho biết : "Những kẻ tấn công cũng đã triển khai các công cụ phát hiện bí mật như TruffleHog và Gitleaks, cùng với các tập lệnh tùy chỉnh để trích xuất một số bí mật khác nhau. Các nỗ lực thu thập thông tin xác thực AI và điện toán đám mây, chẳng hạn như khóa API OpenAI, mã thông báo Databricks và thông tin xác thực tài khoản dịch vụ Kubernetes, cũng đã được ghi nhận. Giao diện dòng lệnh Azure (CLI) (az) và Azure Developer CLI (azd) cũng được sử dụng để lấy mã thông báo."

Trong một chiến dịch khác được Beelzebub mô tả chi tiết, các tác nhân đe dọa đã được phát hiện khai thác các lỗ hổng trong Next.js, bao gồm CVE-2025-29927 và CVE-2025-66478 (cùng một lỗi React2Shell trước khi bị bác bỏ vì trùng lặp), để trích xuất thông tin đăng nhập và dữ liệu nhạy cảm một cách có hệ thống:

   .env,.env.local,.env.production,.env.development
    Biến môi trường hệ thống (printenv, env)
    Khóa SSH (~/.ssh/id_rsa, ~/.ssh/id_ed25519, /root/.ssh/*)
    Thông tin xác thực đám mây (~/.aws/credentials, ~/.docker/config.json)
    Thông tin đăng nhập Git (~/.git-credentials, ~/.gitconfig)
    Lịch sử lệnh (100 lệnh gần nhất từ ~/.bash_history)
    Các tệp hệ thống (/etc/shadow, /etc/passwd)

Phần mềm độc hại này cũng tạo ra khả năng duy trì hoạt động trên máy chủ để tồn tại sau khi khởi động lại hệ thống, cài đặt proxy SOCKS5, thiết lập một shell ngược tới "67.217.57[.]240:888," và cài đặt trình quét React để dò tìm internet nhằm phát tán thêm.

Chiến dịch này, được đặt mật danh là Chiến dịch PCPcat, ước tính đã xâm nhập được 59.128 máy chủ. "Chiến dịch này cho thấy đặc điểm của các hoạt động tình báo quy mô lớn và đánh cắp dữ liệu trên quy mô công nghiệp", công ty Ý cho biết.

Tổ chức Shadowserver Foundation hiện đang theo dõi hơn 111.000 địa chỉ IP dễ bị tấn công React2Shell, trong đó hơn 77.800 trường hợp ở Mỹ, tiếp theo là Đức (7.500), Pháp (4.000) và Ấn Độ (2.300). Dữ liệu từ GreyNoise cho thấy có 547 địa chỉ IP độc hại từ Mỹ, Ấn Độ, Anh, Singapore và Hà Lan tham gia vào các nỗ lực khai thác trong 24 giờ qua.