بدافزار ZnDoor از React2Shell برای نفوذ به زیرساخت شبکه استفاده میکند.
اخیرا یک سوءاستفاده از React2Shell (CVE-2025-55182) مشاهده شده است که یک آسیبپذیری برای اجرای کد از راه دور می باشد و React و Next.js را تحت تأثیر قرار میدهد.
حملات اولیه، در درجه اول از ماینرهای ارز دیجیتال استفاده میکردند اما اخیرا یک بدافزار ناشناخته به نام ZnDoor شناسایی شده است.
شواهد نشان میدهد که این تهدید حداقل از دسامبر 2023 در گردش بوده است و با نفوذ به دستگاههای شبکه در بخشهای مختلف اقدامات مخربی انجام داده است.
ZnDoor یک تروجان دسترسی از راه دور (RAT) پیشرفته است که قادر به کنترل جامع سیستم و حرکت جانبی(lateral movement) است.
این بدافزار بوسیله ی تکنیکهای پیشرفته از مکانیسمهای تشخیص گرفته تا تجزیه و تحلیل داده ها و راهحلهای سنتی همیشگی متخصصان امنیت اطلاعات در End-userها یا سیستم های نقطه پایانی طراحی شدهاست.
فضاهای حمله و استقرار بدافزار ZnDoor، نشاندهندهی تشدید قابل توجه در چشمانداز تهدیدهایی است که زیرساختها و سیستمهای حیاتی تجاری را هدف قرار میدهند.
حمله و بهرهبرداری
دنبالهی حمله با بهرهبرداری از آسیبپذیری React2Shell آغاز میشود که پیش از این کد اثبات آن به صورت عمومی منتشر شده و این امر امکان قربانیسازی گستردهی سرویسهای وبِ در معرض خطر را فراهم میکند.
دستکاری اولیه، اجرای دستوری را آغاز میکند که ZnDoor را از زیرساخت تحت کنترل مهاجم دانلود و اجرا میکند.
پس از استقرار، این بدافزار به طور مداوم با سرورهای فرمان و کنترل (C2) که در همان زیرساخت مورد استفاده برای توزیع ZnDoor میزبانی میشوند، ارتباط برقرار میکند.
دادههای پیکربندی شده در نمونههای ZnDoor با استفاده از رمزگذاری AES-CBC و با پیروی از کدگذاری Base64 رمزگذاری میشوند.
تجزیه و تحلیل های زیرساخت C2 کدگذاری شده، شامل دامنه api.qtss[.]cc را که از طریق پورت ۴۴۳ ارتباط برقرار میکند، نشان می دهد.
این بدافزار، URLهای C2 را با استفاده از یک الگوی ثابت شامل پارامترهایی مانند “source=redhat” و شناسههای نسخه میسازد، که نشاندهنده تلاشهای بالقوه برای پنهان کردن ترافیک مشروع است.
ZnDoor تقریباً در هر ثانیه یکبار دادههای جمع آوری شده سیستم را که به صورت JSON رمزگذاری شدهاند به C2 منتقل میکند.
درواقع هر beacon شامل اطلاعات حیاتی دستگاه است: آدرسهای IP محلی، شناسههای کاربری هششده با MD5، نامهای میزبان، نامهای کاربری، جزئیات سیستم عامل و قابلیتهای موجود برای ارسال پورت.
این بدافزار رشتههای user-agent مرورگر Safari را جعل میکند تا ارتباطات خود را در الگوهای استاندارد ترافیک وب پنهان کند.
عملکرد RAT از طریق یک مجموعه دستور مستند شامل اجرای پوسته، دسترسی به ترمینال کاربر، شمارش دایرکتوری ها، دانلود فایل و نمونهسازی پروکسی SOCKS5، کنترل جامع سیستم را در اختیار اپراتورها قرار میدهد.
دستکاری فایل، اپراتورها را قادر میسازد تا شاخصهای جرم یابی و ردیابی(یا همان footprint) را تغییر یا کاهش دهند، در حالی که قابلیتهای ارسال پورت، حرکت جانبی(lateral movement) را از طریق شبکههای آسیبدیده تسهیل میکند.
اجتناب از فرار و تشخیص
بدافزار ZnDoor از چندین تکنیک فرار پیچیده برای جلوگیری از شناسایی و حذف استفاده میکند. جعل نام فرآیند، حضور بدافزار را در فهرست فرآیندها پنهان میکند و تاریخ اصلاح فایل را به ۱۵ ژانویه ۲۰۱۶ تنظیم میکند. تکنیکی که برای فرار از کنترلهای امنیتی مبتنی بر زمان و تجزیه و تحلیل Forensics طراحی شده اند.
همگرایی آسیبپذیری React2Shell بهطور عمومی قابل بهرهبرداری است و قابلیتهای پیچیده ZnDoor، خطر قابل توجهی را برای شرکتهای آسیبدیده ایجاد میکند.
این بدافزار از طریق اجرای فرآیندهای زیرمجوعه ی خود، مکانیسمهای Autorun را پیادهسازی میکند که تلاشهای مبتنی بر PID را پیچیده کرده و مانع تحلیل پویای مبتنی بر Sandbox میشود.
این قابلیتهای گریز لایهای، رویههای سنتی تحلیل امنیتی را بهطور قابلتوجهی مختل کرده و جدول زمانی بررسی حادثه را پیچیده تر میکند.
سازمانها نمیتوانند به راحتی فرآیندهای آسیبپذیر را از طریق نظارت های مرسوم و مانیتورینگ های همیشگی شناسایی کنند و تکنیکهای گریز آنتیویروس، اثربخشی تشخیص را نیز کاهش میدهد.
نظارت هوشیارانه و مداوم بر رفتارهای مشکوک برنامههای React/Next.js برای سازمانهایی که از چارچوبهای آسیب پذیر استفاده میکنند، همچنان ضروری است.
پچ کردن فوری آسیبپذیریهای React2Shell و نظارت جامع بر سیستم های به اصطلاح End-user برای شاخصهای فعالیت ZnDoor، ازجمله اقدامات حفاظتی توصیه شده می باشند.