中国関連グループとサイバー犯罪者がReact2Shellのエクスプロイトを強化

日本語

以前のPeerBlight攻撃を基に、Google Threat Intelligenceは、中国関連クラスターと金銭的動機を持つアクターによるReact2Shell脆弱性(CVE-2025-55182)の悪用を報告。これにより、脆弱なReactおよびNext.jsシステムにバックドアと暗号通貨マイナーが展開されている。

以前のPeerBlight Linuxバックドアキャンペーンの報道で詳述されたように、React2Shell(CVE-2025-55182)を悪用するもの—2025年12月3日に公開されたReact Server Componentsの重大なRCE欠陥—追加の脅威アクターが攻撃を激化させた。この脆弱性(CVSS 10.0)は、不適切なペイロードデコードによりReactバージョン19.0、19.1.0、19.1.1、19.2.0に影響し、細工されたHTTPリクエストによる認証不要のコード実行を可能にする。

Google Threat Intelligence Group(GTIG)は、公開直後に中国関連グループUNC6600、UNC6586、UNC6588、UNC6603によるキャンペーンを観測した。UNC6600はcronジョブおよびsystemd経由でMINOCATトンネリングを展開;UNC6586はreactcdn.windowserrorapis[.]comにリンクするSNOWLIGHTダウンローダー;UNC6603はCloudflare/GitLabにホストされた更新版GoベースのHISONICバックドアを使用し、アジア太平洋クラウドを標的。追加マルウェアには、ユーティリティを装ったCOMPOODバックドアとタイムスタンプ操作付きSSHデーモン模倣のANGRYREBEL.LINUXが含まれる。

12月5日から、金銭的動機を持つアクターがsex.shを使用してXMRigマイナーを展開し、偽の'system-update-service' systemdサービスを作成。インメモリウェブシェルを含むエクスプロイトリポジトリが急増。

緩和策として、React 19.0.1、19.1.2、または19.2.1+へのアップグレード、Cloud Armor WAFの使用、$HOME/.systemd-utilsやIP 45.76.155[.]14、82.163.22[.]139などのIOC監視、GTIGのVirusTotalハッシュ(MINOCAT、COMPOOD、SNOWLIGHT)を活用。

関連記事

Dramatic server room scene illustrating the SSHStalker Linux botnet infecting thousands of vulnerable servers via SSH exploits.
AIによって生成された画像

Researchers discover SSHStalker botnet infecting Linux servers

AIによるレポート AIによって生成された画像

Flare researchers have identified a new Linux botnet called SSHStalker that has compromised around 7,000 systems using outdated exploits and SSH scanning. The botnet employs IRC for command-and-control while maintaining dormant persistence without immediate malicious activities like DDoS or cryptomining. It targets legacy Linux kernels, highlighting risks in neglected infrastructure.

New Linux botnet SSHStalker uses IRC for command-and-control

Researchers have identified a new Linux botnet called SSHStalker that relies on the outdated IRC protocol for its command-and-control operations. The botnet spreads through SSH scanning and brute-forcing, targeting cloud infrastructure. It incorporates old vulnerabilities and persistence mechanisms for broad infection.

Linux CopyFail exploit threatens root access amid Ubuntu outage

AIによるレポート

A critical Linux vulnerability known as CopyFail, tracked as CVE-2026-31431, allows attackers to gain root access on systems running kernels since 2017. Publicly released exploit code has heightened risks for data centers and personal devices. Ubuntu's infrastructure has been offline for over a day due to a DDoS attack, hampering security communications.

技術

BeyondTrust RCE flaw enables code execution without login

技術

Google report warns of shifting cloud threat landscape

Linux

SSHStalker botnet uses IRC to target Linux servers

Dell zero-day flaw unpatched for nearly two years

A security vulnerability in Dell software has reportedly remained unpatched for almost two years, allowing Chinese hackers to exploit it. The flaw involves hardcoded login credentials in a tool, raising concerns about data security.

The hacker news publishes weekly threatsday bulletin

AIによるレポート

The Hacker News has released its latest ThreatsDay Bulletin, focusing on various cybersecurity issues. The bulletin covers topics such as Kali Linux combined with Claude, Chrome crash traps, WinRAR flaws, and activities related to LockBit. It also includes over 15 additional stories on emerging threats.

2026/05/05 17:44

US government issues urgent CopyFail warning as Linux patches roll out

2026/05/05 12:10

Daemon Tools app hit by monthlong supply-chain attack

2026/04/22 09:46

Microsoft patches critical ASP.NET Core vulnerability on macOS and Linux

2026/02/23 08:01

Malicious npm packages harvest crypto keys and secrets

2026/02/19 13:36

Researchers uncover new SysUpdate malware variant targeting Linux

2026/02/18 23:37

New SysUpdate malware variant targets Linux systems

このウェブサイトはCookieを使用します

サイトを改善するための分析にCookieを使用します。詳細については、プライバシーポリシーをお読みください。
拒否