TokyoBlackHatNews

gbhackers.com 4分で読了

PCPcatマルウェア、React2Shell脆弱性を悪用して59,000台超のサーバーに侵入

「PCP」を名乗るグループによる高度な攻撃キャンペーンが、重大なNext.jsの脆弱性を悪用し、48時間未満で59,128台のサーバーを侵害しました。

セキュリティ研究者は、Dockerハニーポットを監視する中でこの大規模な作戦を発見し、世界中のReactベースのアプリケーションを標的とする、コマンド&コントロール機能を備えた工業化された攻撃インフラを突き止めました。

このキャンペーンは、Next.jsおよびReactフレームワークに存在する2つの重大なリモートコード実行(RCE)脆弱性であるCVE-2025-29927CVE-2025-66478を悪用しており、驚異的な64.6%の悪用成功率を達成しています。

稼働中のコマンド&コントロール(C2)サーバーを直接偵察した結果、PCPcatはすでに91,505件のIPアドレスをスキャンしており、侵害が確認されたシステムは約60,000台に達していることが判明しました。

C2のAPIエンドポイント「/stats」の分析により、攻撃者が現在1バッチあたり2,000件のIPを処理していることを示す運用メトリクスが明らかになりました。現在の速度を維持した場合、1日あたり約41,000台の追加サーバー侵害が発生する可能性があると予測されています。

この攻撃は、大規模なインテリジェンス作戦の特徴と、産業規模のデータ流出を組み合わせた性質を示しています。

研究者は、すでに30万〜59万件の認証情報セットが盗まれたと推定しており、現在の悪用率のままでは、日次の収集が最大でさらに307,500件の認証情報に達する可能性があります。

React2Shell脆弱性

PCPcatマルウェアは、公開されているNext.jsドメインに対する大規模な偵察から攻撃を開始し、高度なJSONペイロード操作とプロトタイプ汚染(prototype pollution)手法を組み合わせて用います。

このエクスプロイトチェーンはchild_process.execSync()関数を通じてコマンドを実行し、結果はHTTPヘッダーのリダイレクトを介して流出させられます。

Image
偵察 & 悪用。

初期の脆弱性検証は単純なコマンド実行テストによって行われ、リモートコード実行を確認した後、体系的な認証情報の抽出へと進みます。

悪用に成功すると、マルウェアは環境変数データベース(.envファイル)、SSH秘密鍵、AWS認証情報、Docker設定ファイル、Git認証情報、システム認証ファイルなど、極めて機微なファイルの抽出を優先します。

研究者は、マルウェアが最近のコマンド列を取得するために~/.bash_historyを照会していることを観測しており、これにより攻撃者は侵害環境内の追加の攻撃ベクトルを特定できるようになります。

このキャンペーンは、localhost:1080で展開されるSOCKS5プロキシであるGOST v2.12.0と、C2インフラへのアウトバウンドトンネルを作成するFRP(Fast Reverse Proxy)v0.52.3をインストールすることで永続化を確立します。

これらのツールにより、ネットワークのピボット(横展開)と、システム再起動後も存続する自動再起動機能付きのsystemdサービス作成による長期的なアクセス永続化が可能になります。

C2インフラは、シンガポール所在のサーバー(67.217.57.240)上で、3つの主要ポートにわたって運用されています。

Image
データパイプライン

ポート666は悪性ペイロードを配布する配布サーバーとして機能し、ポート888はFRPのリバーストンネル基盤をホストし、ポート5656はAPIコマンドセンターとして機能します。

重大な点として、このC2 APIは認証や認可の仕組みなしに動作しており、運用エンドポイントへ無制限にアクセスできる状態になっています。

C2の重大なセキュリティ脆弱性ies

露出したC2 APIの分析により、複数のセキュリティ脆弱性が明らかになりました。「/domains」エンドポイントは、クライアント検証なしにリクエストごとに2,000件の標的IPアドレスを返します。

「/result」エンドポイントは入力のサニタイズなしに認証情報データを受け付け、テストでは偽のAWS認証情報、GitHubトークン、SSH鍵を問題なく取り込むことができました。

最も重大なのは、「/stats」エンドポイントが、スキャン済み総ターゲット数、悪用成功数、認証情報収集件数、運用バッチ情報など、キャンペーンの完全なメトリクスを公開している点です。

Next.jsまたはReactアプリケーションを運用している組織は、CVE-2025-29927およびCVE-2025-66478に対処したパッチ適用済みバージョンを直ちに導入すべきです。

セキュリティチームは、環境変数、SSH鍵、認証情報ストアについて、不正アクセスの兆候がないか監査する必要があります。

ネットワーク監視では、ポート666、888、5656で67.217.57.240へのアウトバウンド接続の検知を優先するとともに、侵害システム上でのGOSTおよびFRPプロセスの特定を行うべきです。

翻訳元: https://gbhackers.com/pcpcat-malware/

ソース: gbhackers.com
#C2(コマンド&コントロール) #CVE-2025-29927 #CVE-2025-66478 #Dockerハニーポット #Next.js脆弱性 #PCPcat #React2Shell #リモートコード実行(RCE) #大規模サイバー攻撃 #認証情報窃取

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚