2025年12月以降、セキュリティ運用センター(SOC)は、ReactおよびNext.jsアプリケーションに影響する重大なリモートコード実行脆弱性であるReact2Shell(CVE-2025-55182)の悪用を通じて、日本企業を標的とする脅威の増加を確認しています。
初期の攻撃では主に暗号資産マイナーが展開されていましたが、研究者は発見により、より危険なペイロードとして、これまで未知だったマルウェアファミリー「ZnDoor」を特定しました。
証拠によれば、この脅威は少なくとも2023年12月から流通しており、複数の業界におけるネットワーク機器の侵害と関連していることが示唆されています。
ZnDoorは、高度なリモートアクセス型トロイの木馬(RAT)であり、包括的なシステム制御とラテラルムーブメントが可能です。
このマルウェアは、検知メカニズム、フォレンジック分析、従来のエンドポイントセキュリティソリューションを回避するために設計された高度な回避手法を示します。
日本におけるZnDoorの積極的な展開が確認されたことは、インフラおよび業務上重要なシステムを狙う脅威環境が大きくエスカレートしていることを示しています。
攻撃チェーンと悪用フロー
攻撃の一連の流れはReact2Shell脆弱性の悪用から始まります。この脆弱性については、すでに公開概念実証(PoC)コードがリリースされており、公開されたWebサービスが広範に被害を受けることを可能にしています。
初期侵害によりコマンド実行がトリガーされ、攻撃者が管理するインフラからZnDoorをダウンロードして実行します。
いったん確立されると、マルウェアはZnDoor配布に使用されたのと同じインフラ上でホストされるコマンド&コントロール(C2)サーバーと永続的に通信します。
ZnDoorサンプルに埋め込まれた設定データは、Base64エンコード後にAES-CBC暗号化で暗号化されたまま保持されています。
分析により、ポート443で通信するドメインapi.qtss[.]ccを含む、ハードコードされたC2インフラが明らかになりました。
このマルウェアは、「source=redhat」やバージョン識別子などのパラメータを組み込んだ一貫したパターンでC2 URLを構築しており、正規トラフィックに偽装しようとしている可能性が示唆されます。
ZnDoorはC2インフラとの継続的な通信を実装しており、約1秒に1回、JSONペイロードとしてエンコードされたシステム偵察データを送信します。
各ビーコンには、ローカルIPアドレス、MD5でハッシュ化されたユーザー識別子、ホスト名、ユーザー名、OSの詳細、利用可能なポートフォワーディング機能といった重要なデバイス情報が含まれます。
このマルウェアは、正規のSafariのユーザーエージェント文字列を偽装し、標準的なWebトラフィックのパターンの中に通信を紛れ込ませます。
RAT機能は、シェル実行、対話型ターミナルアクセス、ディレクトリ列挙、ファイル操作、そしてSOCKS5プロキシの生成を含む、文書化されたコマンドセットを通じて、オペレーターに包括的なシステム制御を提供します。
ファイルのタイムスタンプ操作により、オペレーターはフォレンジック指標を改変でき、またポートフォワーディング機能は侵害されたネットワーク内でのラテラルムーブメントを容易にします。
回避と検知回避
ZnDoorは、検知と除去を防ぐために複数の高度な回避手法を用います。プロセス名の偽装によりプロセス一覧内での存在を隠し、自動的なタイムスタンプ変更によってファイルメタデータを2016年1月15日に設定します。これは、時間ベースのセキュリティ制御やフォレンジック分析を回避することを狙った手法です。
公開され悪用可能なReact2Shell脆弱性とZnDoorの高度な能力が組み合わさることで、影響を受ける企業にとって重大なリスクが生じます。
このマルウェアは、子プロセス実行による自己再起動メカニズムを実装しており、PIDベースの終了作業を複雑化し、サンドボックスベースの動的解析を妨げます。
これらの多層的な回避能力は、従来のセキュリティ対応手順を大幅に阻害し、インシデント調査のタイムラインを複雑化します。
組織は従来の監視では侵害されたプロセスを容易に特定できず、またアンチウイルス回避手法により検知の有効性が低下します。
影響を受けるフレームワークを運用する組織にとって、疑わしいReact/Next.jsアプリケーションの挙動を継続的に警戒・監視することが不可欠です。
React2Shell脆弱性の即時パッチ適用と、ZnDoor活動の指標(IoC)に対する包括的なエンドポイント監視が、推奨される防御策です。
翻訳元: https://gbhackers.com/zndoor-malware/
