СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
23.12.2025
#ИБ

ZnDoor и React2Shell: эксплуатация CVE-2025-55182 в CoinMiner-атаках

Недавние наблюдения в Японии зафиксировали массовое использование уязвимости React2Shell, идентифицированной как CVE-2025-55182. Эксплуатация этой уязвимости связывается в основном с распространением CoinMiner и прочих вредоносных модулей, однако анализ также выявил ранее неизвестный вариант вредоносного ПО, получивший условное название ZnDoor.

Суть обнаруженных инцидентов

Расследование показывает, что ZnDoor, по крайней мере с декабря 2023 года, мог действовать в составе цепочек атак, где начальной точкой становились уязвимости сетевых устройств и серверного ПО. После успешной эксплуатации через React2Shell злоумышленники, судя по всему, разворачивали на целевых системах ZnDoor, который функционирует как RAT и поддерживает стабильное взаимодействие с сервером управления — C2.

«ZnDoor собирает системную информацию, форматирует её в формате JSON и периодически отправляет в C2 с помощью HTTP POST-запросов.»

Поведение и функциональность ZnDoor

На основании статического и динамического анализа, ключевые черты ZnDoor выглядят следующим образом:

  • Сбор и передача данных: Malware собирает системную информацию, формирует её в JSON и периодически отправляет на C2 посредством HTTP POST-запросов.
  • Удалённое исполнение команд: ZnDoor действует как обычный RAT — принимает команды от C2 и выполняет их на инфицированной машине. Логика разбора и исполнения команд реализована в компоненте src/mode/process/ProcessLinux.ProcessTask, где команды интерпретируются на основе строковых параметров, а результаты выполнения также отправляются обратно на сервер управления.
  • Модули и расширяемость: кроме базового набора функций, в образцах обнаружены механизмы, позволяющие добавлять и исполнять дополнительные задачи по команде C2.

Методы маскировки и устойчивости

ZnDoor реализует несколько приёмов, направленных на сокрытие присутствия и обеспечение выживаемости в системе:

  • Подмена имени процесса: вредоносное ПО использует списки, генерируемые функцией znF0q, для создания псевдонимов процессов и тем самым усложняет анализ средствами безопасности.
  • Изменение временных меток (timestomping): процесс изменяет собственные временные метки на фиксированную дату, что обеспечивает согласованность поведения и затрудняет обнаружение по тревогам целостности файловой системы.
  • Самовоспроизведение и сокрытие запуска: функция znF0q.I содержит механизм, позволяющий вызывать /proc/self/exe с унаследованными дескрипторами ввода-вывода от родительских процессов к дочерним — это способствует скрытному рестарту и уклонению от простых методов мониторинга процессов.

Связь с CoinMiner и возможные векторы проникновения

Хотя в ряде инцидентов основной нагрузкой оставался CoinMiner, обнаруженные образцы ZnDoor свидетельствуют о гибридном характере кампаний: эксплуатация React2Shell открывала доступ, после чего злоумышленники могли разворачивать либо майнеры, либо RAT для дальнейшего управления. Аналитики отмечают возможную связь с инцидентами, в которых использовались уязвимости сетевых устройств и серверного ПО как первоначальная точка входа.

Рекомендации для специалистов по защите

Исходя из выявленных свойств ZnDoor и используемых техник, экспертный минимум мер защиты включает:

  • оперативное применение патчей и обновлений для устранения уязвимости CVE-2025-55182 и других известных проблем в стороннем ПО;
  • контроль исходящего трафика и мониторинг аномальных HTTP POST-запросов на неизвестные или подозрительные домены/IP-адреса;
  • отслеживание аномалий в именах процессов и поведении процессов, включая неожиданные псевдонимы и рестарты через /proc/self/exe;
  • проверка целостности файлов и мониторинг изменений временных меток, которые могут свидетельствовать о timestomping;
  • ограничение прав и сегментация сети, чтобы снизить риск дальнейшего распространения и доступа к критичным ресурсам;
  • внедрение EDR/IDS, способных распознавать характерные индикаторы поведения RAT и майнеров, а также привлечение к расследованию при обнаружении признаков C2-коммуникаций.

Вывод

Наблюдения в Японии подчёркивают, что эксплойты вроде React2Shell используются не только для развертывания майнеров, но и для установки сложных RAT, таких как обнаруженный ZnDoor. Комбинация сбора данных, удалённого исполнения команд и множества техник маскировки делает такие угрозы опасными и трудными для обнаружения. Комплексная защита — патч-менеджмент, сетевой мониторинг и поведенческий анализ — остаётся ключом к снижению риска подобных кампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: