当前位置：首页 > news >正文

攻击者利用React2Shell漏洞部署Linux后门程序，日本成重点攻击目标

news 2026/5/11 8:00:40

根据Palo Alto Networks Unit 42和NTT Security的研究发现，威胁行为者正在利用名为React2Shell的安全漏洞传播KSwapDoor和ZnDoor等恶意软件家族。

Palo Alto Networks Unit 42威胁情报研究高级经理Justin Moore表示："KSwapDoor是一款专业设计的远程访问工具，具有高度隐蔽性。它会构建内部网状网络，使受感染服务器相互通信以规避安全拦截。该工具采用军用级加密隐藏通信流量，最令人担忧的是具备'休眠'模式，攻击者可通过隐秘不可见的信号唤醒恶意软件来绕过防火墙。"

这家网络安全公司指出，该后门程序曾被误归类为BPFDoor，其Linux版本提供交互式shell、命令执行、文件操作和横向移动扫描功能，并通过伪装成合法的Linux内核交换守护进程来逃避检测。

日本成为重点攻击目标

NTT Security披露，日本机构正成为利用React2Shell漏洞部署ZnDoor恶意软件的攻击目标。该恶意软件自2023年12月起在野被发现。攻击链涉及执行bash命令，通过wget从远程服务器（45.76.155[.]14）获取有效载荷并执行。

这款远程访问木马会连接攻击者控制的基础设施接收指令，支持以下操作：

shell - 执行命令
interactive_shell - 启动交互式shell
explorer - 获取目录列表
explorer_cat - 读取显示文件
explorer_delete - 删除文件
explorer_upload - 从服务器下载文件
explorer_download - 向服务器发送文件
system - 收集系统信息
change_timefile - 修改文件时间戳
socket_quick_startstreams - 启动SOCKS5代理
start_in_port_forward - 开启端口转发
stop_in_port - 停止端口转发

多组攻击者利用高危漏洞（CVE-2025-55182）

该漏洞（CVE-2025-55182，CVSS评分：10.0）已被多个威胁组织利用。谷歌发现至少五个相关联的组织将其武器化，用于投递多种有效载荷：

UNC6600投递名为MINOCAT的隧道工具
UNC6586投递名为SNOWLIGHT的下载器
UNC6588投递名为COMPOOD的后门
UNC6603投递Go语言后门HISONIC的更新版本（利用Cloudflare Pages和GitLab获取加密配置，混入合法网络流量）
UNC6595投递Linux版ANGRYREBEL（又名Noodle RAT）

微软在安全公告中指出，攻击者利用该漏洞执行任意命令进行后期利用，包括：建立到已知Cobalt Strike服务器的反向shell、部署MeshAgent等远程监控管理（RMM）工具、修改authorized_keys文件以及启用root登录。

云凭证成为重点窃取目标

这些攻击中投递的有效载荷包括VShell、EtherRAT、SNOWLIGHT、ShadowPad和XMRig。攻击特征包括使用Cloudflare Tunnel端点（"*.trycloudflare.com"）规避安全防御，以及对受感染环境进行侦察以实施横向移动和凭证窃取。

微软表示，凭证窃取活动针对Azure、AWS和GCP等实例元数据服务（IMDS）端点，最终目的是获取身份令牌以深入云基础设施。微软安全研究团队称："攻击者还部署了TruffleHog和Gitleaks等秘密发现工具及自定义脚本，同时观察到窃取OpenAI API密钥、Databricks令牌和Kubernetes服务账户凭证等云原生凭据的尝试。"