本月3日React開發工程團隊修補風險值達到10分的資安漏洞CVE-2025-55182(React2Shell),此漏洞發生在React Server Components(RSC)元件,最早傳出Earth Lamia(UNC5454)與Jackpot Panda等多組中國國家級駭客試圖利用,後續也有多家資安公司發現該國駭客的相關活動,現在有新的調查結果出爐,指出有5組中國駭客加入漏洞利用行列。
12月13日Google威脅情報團隊(GTIG)揭露中國駭客組織UNC6586、UNC6588、UNC6595、UNC6600,以及UNC6603的全球攻擊活動,共通點在於,過程裡駭客都使用了React2Shell而得逞。
其中,較為特別的是UNC6600的活動,他們利用React2Shell漏洞來傳送隧道工具MinoCat。他們執行bash指令碼來建立隱藏的資料夾,清除特定名稱的處理程序,然後下載MinoCat的二進位檔案,駭客於特定的使用者Shell組態插入惡意命令,來啟動MinoCat,此為Go語言打造的64位元ELF執行檔,搭載自製的wrapper元件NSS,以及開源的Fast Reverse Proxy(FRP)用戶端元件,來處理隧道通訊。為了能讓隧道工具持續運作,UNC6600建立新的cron工作排程,並濫用systemd服務。
另一個惡意程式下載工具Snowlight的活動,也相當值得留意,UNC6586利用漏洞執行命令,或是接收指令碼,然後下載Snowlight,此為Go語言後門程式Vshell的元件,駭客用於對C2發送HTTP GET請求,從C2基礎設施取得其他的有效酬載。值得留意的是,已有外號為UNC5174或CL-STA-1015中國駭客組織,利用React2Shell散布Snowlight與Vshell,然後竊取AWS組態及憑證檔案,揭露此事的資安公司Palo Alto Networks指出,他們確認至少有30家企業受害。
GTIG看到後門程式Hisonic與Compood的活動,其中,UNC6603藉由React2Shell散布Hisonic,鎖定亞太地區的AWS與阿里雲等雲端基礎設施的實體(instance)而來。此後門程式以Go語言開發,其特點是濫用Cloudflare Pages和GitLab等合法服務,存放加密相關的組態配置,這麼做的目的,就是將惡意流量埋入合法的網路活動。
另一個後門Compood的活動,是名為UNC6588的駭客組織所為,他們執行特定的指令碼下載後門程式的有效酬載,並將其偽裝成文字編輯工具Vim。儘管後續駭客並未採取其他活動,無從判斷意圖,不過,中國駭客使用Compood可追溯至2022年,當時在臺灣、越南,以及中國都出現活動。
最後一支惡意程式是AngryRebel.Linux,UNC6595利用安裝指令碼b.sh部署,並試圖將其偽裝成合法的OpenSSH處理程序,主要攻擊目標是虛擬專用伺服器(VPS)。
熱門新聞
2025-12-12
2025-12-16
2025-12-15
2025-12-15
2025-12-15
2025-12-15
2025-12-16
2025-12-15