Sysdigのセキュリティ研究者は、北朝鮮のハッカーの特徴を備えているように見えるReact2Shellを悪用する新たなキャンペーンを観測した。
React2Shellは、React Server Components(RSC)におけるリモートコード実行(RCE)の脆弱性である。CVE-2025-55182として追跡されており、この欠陥はCVSSスコア10.0の最大深刻度評価となっている。
12月3日に公表されたこの脆弱性は、アプリケーションのユーザーインターフェースを作成するためのReactオープンソースライブラリのバージョン19に影響するほか、Next.js、Waku、React Router、RedwoodSDKなど、多くの関連フレームワークにも影響を及ぼす。
公表後まもなく、Amazon Web Services(AWS)は、中国の国家的利益に結び付くとされるEarth LamiaおよびJackpot Pandaを含む脅威グループが、悪用の試みを開始したグループの一つであることを確認した。
また、React2Shellを悪用する他の脅威アクターも観測されており、暗号資産マイナー(主にXMRig)をインストールする日和見的アクターや、AWS設定ファイルおよび環境変数を標的とする認証情報窃取ツールなどが含まれていた。
今回、Sysdig Threat Research Team(TRT)は、侵害されたNext.jsアプリケーションからEtherRATを配信する新しいインプラントを発見したと述べた。
12月8日に公開されたSysdig TRTの分析では、「Contagious Interview(感染性面接)」と呼ばれる北朝鮮関連のキャンペーンクラスターのツール群との顕著な重複が明らかになった。これは、北朝鮮のアクターがReact2Shellの悪用へと軸足を移したか、あるいは国家支援グループ間で高度なツール共有が行われていることを示唆している。
React2Shell-EtherRAT攻撃チェーンの解説
EtherRATは、コマンド&コントロール(C2)の解決にEthereumスマートコントラクトを利用し、5つの独立したLinux永続化メカニズムを展開し、nodejs.orgから自身のNode.jsランタイムをダウンロードするリモートアクセス型トロイの木馬(RAT)である。
「ブロックや押収が可能なC2サーバーのアドレスをハードコードするのではなく、マルウェアはオンチェーンのコントラクトに問い合わせて現在のC2 URLを取得する」とSysdigのレポートは説明している。
React2Shellエクスプロイトを利用する悪性キャンペーンの攻撃チェーンは4段階で構成されており、各段階は侵害されたシステムに対して永続的かつ回避的な制御を確立するよう設計されている。
- 初期アクセス: base64でエンコードされたシェルコマンドがReact2Shell経由で実行され、curl/wget/python3のフォールバックと300秒のリトライループを用いて悪性スクリプト(s.sh)を取得する永続的ダウンローダーを展開する
- 展開: ダウンロードされたスクリプト(s.sh)がnodejs.orgからNode.jsをインストール(検知回避のため)し、隠しディレクトリを作成し、暗号化されたペイロードと難読化されたJavaScriptドロッパーを配置した後、自身を削除する
- ドロッパー: JavaScriptドロッパー(.kxnzl4mtez.js)が、ハードコードされた鍵を用いたAES-256-CBCでメインペイロードを復号し、復号したインプラントをディスクに書き込み、ダウンロードしたNode.jsランタイム経由で実行する
- インプラント: 最終ペイロードが、ブロックチェーンベースのC2、永続化のための5つの冗長メカニズム、自動ペイロード更新を備えた永続的バックドアを確立し、長期的なアクセスを保証する
国家支援グループの高度さ、または協力の兆候
これらのキャンペーンは、北朝鮮関連キャンペーンを含む複数の既知キャンペーンと類似点を示している。
例えば、これらのEtherRATキャンペーンで用いられている暗号化ローダーのパターンは、Contagious Interviewキャンペーンで使用された北朝鮮系のBeaverTailマルウェアと非常によく一致している。
Sysdigは、Google Threat Intelligence Group(GTIG)が最近、BeaverTailマルウェアの使用およびブロックチェーンベースのC2手法を、北朝鮮関連の脅威アクターUNC5342に帰属させたと指摘した。
「しかし、直接的なコードの重複がないため、EtherRATの背後にいる脅威アクターが同一であるとは確認できない。上記に挙げた重要な相違点のいくつかを踏まえると、これは複数の朝鮮民主主義人民共和国(DPRK)関連の脅威グループ間で共有されている手法を示している可能性がある」とSysdigの研究者は記している。
「あるいは、DPRKのアクターが新たな初期アクセス手段としてReact2Shellを採用した可能性がある一方で、別の高度なアクターが複数の既知キャンペーンの手法を組み合わせ、帰属判断を困難にしている可能性もある」と彼らは付け加えた。
帰属が確認されれば、これらの新たなキャンペーンは、北朝鮮のアクターが検知リスクの低減と引き換えにペイロードサイズを小さくするという、トレードクラフトの大きな進化を示すものとなる。
「Lazarus Groupやその他の北朝鮮関連の脅威アクターは歴史的にNode.jsをペイロードに同梱してきたが、我々が特定したサンプルは公式のnodejs.org配布元からNode.jsをダウンロードしている」と研究者は説明した。
Sysdigの研究者によれば、EtherRATは「React2Shell悪用における重要な進化」を示しており、典型的な日和見的暗号資産マイニングや認証情報窃取から、「長期運用を目的とした永続的でステルス性の高いアクセス」へと移行しているという。
チームは、このマルウェアの「ブロックチェーンベースのC2、攻撃的なマルチベクター永続化、ペイロード更新メカニズムの組み合わせ」が、「これまでReact2Shellのペイロードでは観測されていない」高度さを反映していると強調した。これは、より計算された強靭な脅威モデルを示唆していると彼らは述べた。
翻訳元: https://www.infosecurity-magazine.com/news/react2shell-exploit-campaigns/
