Aralık 2025’ten bu yana güvenlik operasyon merkezleri, React ve Next.js uygulamalarını etkileyen kritik bir uzaktan kod yürütme güvenlik açığı olan React2Shell’in (CVE-2025-55182) kullanılması yoluyla Japon işletmelerini hedef alan artan bir tehdit tespit etti.
İlk saldırılar öncelikle kripto para madencilerini hedef alırken, araştırmacılar daha önce bilinmeyen bir kötü amaçlı yazılım ailesi olan ZnDoor’un daha tehlikeli bir yük olduğunu keşfetti.
Kanıtlar, bu tehdidin en az Aralık 2023’ten beri dolaşımda olduğunu ve birden fazla sektördeki ağ cihazı ihlalleriyle bağlantılı olduğunu gösteriyor.
ZnDoor, kapsamlı sistem kontrolü ve yanal hareket kabiliyetine sahip gelişmiş bir Uzaktan Erişim Truva Atı’nı (RAT) temsil eder.
Kötü amaçlı yazılım, tespit mekanizmalarından, adli analizden ve geleneksel uç nokta güvenlik çözümlerinden kaçmak için tasarlanmış gelişmiş kaçırma teknikleri gösteriyor.
ZnDoor’un Japonya’da aktif olarak konuşlandırıldığının keşfedilmesi, altyapıyı ve iş açısından kritik sistemleri hedef alan tehdit ortamında önemli bir artışa işaret ediyor.
Saldırı Zinciri ve Sömürü Akışı
Saldırı dizisi, halihazırda kamuya açık kavram kanıtlama kodunun yayınlandığı ve açığa çıkan web hizmetlerinin geniş çapta mağdur edilmesine olanak tanıyan React2Shell güvenlik açığının istismar edilmesiyle başlıyor.
İlk uzlaşma, saldırganın kontrol ettiği altyapıdan ZnDoor’u indiren ve çalıştıran komut yürütmeyi tetikler.
Kötü amaçlı yazılım kurulduktan sonra, ZnDoor dağıtımı için kullanılan altyapının aynısında barındırılan komuta ve kontrol (C2) sunucularıyla sürekli olarak iletişim kurar.
ZnDoor örneklerine gömülü yapılandırma verileri, Base64 kodlamasını takiben AES-CBC şifrelemesi kullanılarak şifrelenmiş halde kalır.
Analiz, api.qtss alanını da içeren sabit kodlu C2 altyapısını ortaya çıkardı[.]cc, 443 numaralı bağlantı noktası üzerinden iletişim kuruyor.
Kötü amaçlı yazılım, “kaynak=redhat” gibi parametreleri ve sürüm tanımlayıcılarını içeren tutarlı bir model kullanarak C2 URL’leri oluşturur ve bu da meşru trafiği maskelemeye yönelik olası girişimleri akla getirir.
ZnDoor, C2 altyapısıyla sürekli iletişim kurarak, JSON yükleri olarak kodlanmış sistem keşif verilerini yaklaşık saniyede bir kez iletir.
Her işaret, kritik cihaz bilgilerini içerir: yerel IP adresleri, MD5 karma kullanıcı tanımlayıcıları, ana bilgisayar adları, kullanıcı adları, işletim sistemi ayrıntıları ve mevcut bağlantı noktası yönlendirme yetenekleri.
Kötü amaçlı yazılım, standart web trafiği kalıpları içindeki iletişimlerini gizlemek için meşru Safari kullanıcı aracısı dizelerini taklit ediyor.
RAT işlevselliği, kabuk yürütme, etkileşimli terminal erişimi, dizin numaralandırma, dosya işlemleri ve SOCKS5 proxy başlatma dahil olmak üzere belgelenmiş bir komut seti aracılığıyla operatörlere kapsamlı sistem kontrolü sağlar.
Dosya zaman damgası manipülasyonu, operatörlerin adli göstergeleri değiştirmesine olanak tanırken, bağlantı noktası yönlendirme yetenekleri, güvenliği ihlal edilmiş ağlar boyunca yanal hareketi kolaylaştırır.
Kaçınma ve Tespitten Kaçınma
ZnDoor, tespit edilmesini ve kaldırılmasını önlemek için çok sayıda karmaşık kaçırma tekniği kullanır. İşlem adı sahtekarlığı, kötü amaçlı yazılımın süreç listelerindeki varlığını maskelerken, otomatik zaman damgası değişikliği, dosya meta verilerini 15 Ocak 2016’ya ayarlar; bu teknik, zamana dayalı güvenlik kontrollerinden ve adli analizden kaçınmak için tasarlanmıştır.
Herkese açık bir React2Shell güvenlik açığı ile ZnDoor’un gelişmiş yeteneklerinin birleşmesi, etkilenen kuruluşlar için önemli bir risk oluşturur.
Kötü amaçlı yazılım, alt süreç yürütme yoluyla kendi kendini yeniden başlatma mekanizmaları uygulayarak PID tabanlı sonlandırma çabalarını karmaşık hale getirir ve korumalı alan tabanlı dinamik analizi engeller.
Bu katmanlı kaçırma yetenekleri, geleneksel güvenlik müdahale prosedürlerini büyük ölçüde sekteye uğratır ve olay inceleme zaman çizelgelerini karmaşıklaştırır.
Kuruluşlar, geleneksel izleme yoluyla güvenliği ihlal edilmiş süreçleri kolayca belirleyemez ve antivirüs kaçırma teknikleri, tespit etkinliğini azaltır.
Şüpheli React/Next.js uygulama davranışına karşı sürekli dikkatli izleme, etkilenen çerçeveleri çalıştıran kuruluşlar için hayati önem taşıyor.
React2Shell güvenlik açıklarına anında yama uygulanması ve ZnDoor etkinliği göstergeleri için kapsamlı uç nokta izlemesi önerilen koruyucu önlemlerdir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.