Aralık 2025’ten bu yana, saldırganların React/Next.js uygulamalarındaki kritik bir güvenlik açığından yararlanması nedeniyle Japon kuruluşlarında endişe verici bir eğilim ortaya çıktı.
CVE-2025-55182 olarak takip edilen ve React2Shell olarak bilinen güvenlik açığı, yaygın kullanıma neden olan bir uzaktan kod yürütme kusurunu temsil ediyor.
İlk saldırılar öncelikle kripto para birimi madencilerini hedef alırken, güvenlik araştırmacıları ZnDoor adı verilen daha önce bilinmeyen bir kötü amaçlı yazılım aracılığıyla ağ altyapısını hedef alan daha karmaşık tehditleri ortaya çıkardı.
ZnDoor’un ortaya çıkışı bu saldırılarda önemli bir artışa işaret etti. Bu uzaktan erişim truva atı, basit madencilik operasyonlarının çok ötesinde gelişmiş yetenekler sergiliyor.
Kanıtlar, ZnDoor’un en az Aralık 2023’ten beri aktif olduğunu ve hedeflenen ortamlarda sessizce varlığını tesis ettiğini gösteriyor.
Kötü amaçlı yazılımın karmaşık mimarisi, ağ cihazlarına karşı dikkatli bir geliştirme ve stratejik dağıtıma işaret ediyor ve bu da onu kurumsal güvenlik ekipleri için ciddi bir endişe kaynağı haline getiriyor.
NTT Güvenlik analistleri, güvenliği ihlal edilmiş sistemlerin ayrıntılı adli analizi yoluyla ZnDoor’u belirledi.
.webp)
Araştırmaları, React2Shell’in kötüye kullanılmasıyla başlayan ve ZnDoor dağıtımı aracılığıyla kalıcı arka kapı erişimiyle sonuçlanan koordineli bir saldırı zincirini ortaya çıkardı.
Enfeksiyon Mekanizması ve Komuta Kontrol Operasyonları
Enfeksiyon mekanizması basit ama etkili bir yol izler. Saldırganlar, 45.76.155.14 adresindeki harici sunuculardan ZnDoor’u indirip çalıştıran bir kabuk komutunu yürütmek için React2Shell’den yararlanır.
Komut /bin/sh aracılığıyla yürütülür ve api.qtss.cc:443 adresindeki komut ve kontrol sunucusuyla hemen iletişim kurar.
C2 adresi ve bağlantı noktası da dahil olmak üzere yapılandırma ayrıntıları, Base64 kod çözme işleminden sonra AES-CBC şifrelemesi kullanılarak şifrelenir ve kötü amaçlı yazılımın iletişim altyapısını rastgele incelemelerden korur.
ZnDoor, kapsamlı sistem kontrol yeteneklerine sahip, tam özellikli bir uzaktan erişim truva atı olarak çalışır. Kötü amaçlı yazılım, her saniye sürekli olarak C2 sunucusuna işaret göndererek ağ adresleri, ana bilgisayar adı, kullanıcı adı ve işlem tanımlayıcıları dahil olmak üzere sistem bilgilerini HTTP POST istekleri aracılığıyla iletir.
Bu kalıcı iletişim, saldırganların dosya işlemleri, kabuk yürütme, sistem numaralandırma ve SOCKS5 proxy aktivasyonu için komutlar göndermesine olanak tanır.
Komut yapısı, etkileşimli kabuk oluşturma, dizin listeleme, dosya işleme ve ağ tüneli oluşturma gibi işlemleri destekleyen talimatları ayrıştırmak için çift karma sınırlayıcılar kullanır.
Algılamadan kaçınma, ZnDoor’un tasarımının kritik bir yönünü temsil eder. Kötü amaçlı yazılım, meşru sistem süreçleri gibi görünmek için süreç adı sahtekarlığı uygulayarak, geleneksel izleme yoluyla tanımlamayı zorlaştırıyor.
Ek olarak, adli soruşturmalardan kaçmaya çalışarak dosya zaman damgalarını 15 Ocak 2016 olarak değiştiriyor.
Kötü amaçlı yazılım, alt süreçleri kullanarak kendi kendini yeniden başlatma mekanizmalarını çalıştırarak analiz çalışmalarını karmaşık hale getiriyor. Bu sofistike kaçınma taktikleri, bu tehdidin gelişmiş doğasının altını çiziyor ve davranışsal izlemenin önemini vurguluyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
