Ny PCPcat skadevare som utnytter React2Shell sårbarhet utsetter over 59 000 servere for kompromittering. ZnDoor skadevare som utnytter React2Shell sårbarhet utsetter nettverksenheter for kompromittering. xHunt APT hackere angriper Microsoft Exchange og IIS webservere for å distribuere tilpassede bakdører.
Ny PCPcat skadevare som utnytter React2Shell sårbarhet utsetter over 59 000 servere for kompromittering
En ny skadevare kampanje kalt PCPcat har på under 48 timer kompromittert mer enn 59 000 servere ved å utnytte kritiske sårbarheter i Next.js og React rammeverkene, spesielt React2Shell relaterte feil (bl.a. CVE-2025-29927 og CVE-2025-66478). Kampanjen bruker prototype forurensing og kommandoinjeksjon for å oppnå remote code execution (RCE) uten autentisering, med en suksessrate på ca. 64,6 % mot offentlig eksponerte applikasjoner. PCPcat skanner tusenvis av mål raskt og installerer verktøy for vedvarende tilgang, inkludert proxy og tunneleringsprogrammer, samtidig som den stjeler miljøvariabler, skylegitimasjon, SSH nøkler og kommandologger. Administratorer kan se etter uvanlige systemd tjenester (navn som pcpcat), uvanlige utgående JSON tilkoblinger og trafikk til den identifiserte C2 serveren for deteksjon
Umiddelbar patching/oppradering av berørte React/Next.js komponenter til sikre versjoner. Overvåkning av uvanlige systemtjenester, C2 trafikk og kjente IoC indikatorer. Restriksjon av skanning og ingress trafikk fra eksterne kilder.
ZnDoor skadevare som utnytter React2Shell sårbarhet utsetter nettverksenheter for kompromittering
Siden desember 2025 har en ny skadevare-familie kalt ZnDoor blitt brukt i angrep som utnytter den kritiske React2Shell sårbarheten (CVE-2025-55182) i React/Next.js-baserte applikasjoner for å kompromittere nettverksutstyr og servere. ZnDoor, som er en avansert fjernadgangstrojaner, ble identifisert av NTT Security etter forensic analyse av kompromitterte systemer og representerer en betydelig eskalering fra tidligere cryptominer angrep. Angrepskjeden starter med utnyttelse av React2Shell for å kjøre shell kommandoer som laster ned og starter ZnDoor fra en ekstern C2 server, hvor malware prosessen bevarer vedvarende kontakt til kommandosentralen for å motta instrukser om filoperasjoner, shell kjøring, systemenumerasjon og SOCKS5 aktivisering. For å unngå deteksjon bruker ZnDoor prosess-navn spoofing og manipulerer fil tidsstempler for å skjule aktivitet.
Oppdatere React/Next.js miljøer til sikre versjoner som ikke er sårbare mot React2Shell. Gjennomføre nettverks og endepunkts overvåkning for uvanlige utgående tilkoblinger, spesielt til mistenkelige C2 domener og porter. Bruke EDR/IDS/IPS verktøy med regler for å oppdage prosess spoofing og shell-exec aktiviteter som ligner ZnDoor atferd.
xHunt APT hackere angriper Microsoft Exchange og IIS webservere for å distribuere tilpassede bakdører
Apt-gruppen xHunt gjennomfører målrettede spionasjeangrep ved å kompromittere Microsoft Exchange og IIS webservere for å distribuere skreddersydde bakdører og verktøy med anime inspirerte navn som Hisoka, Netero, TriFive, Snugy og BumbleBee. Angrepene retter seg primært mot offentlige og kritiske sektorer i Kuwait (regjering, shipping, transport), og inkluderer teknikker som "watering hole" angrep for å stjele NTLM hasher og utnytte legitime tjenester som Exchange Web Services (EWS) for å kommunisere med ondsinnet kode via e-post utkast. Vedvarende adgang sikres ved hjelp av forhåndsplanlagte oppgaver og SSH tunneler som gjør det vanskelig å oppdage aktivitetene.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.