概要:React2Shellの悪用と新たな脅威ZnDoor
2025年12月以降、日本の企業を標的とした新たな脅威がセキュリティオペレーションセンターによって確認されています。この脅威は、ReactおよびNext.jsアプリケーションに影響を及ぼす重大なリモートコード実行の脆弱性「React2Shell (CVE-2025-55182)」を悪用するものです。当初、攻撃は主に仮想通貨マイナーの展開を目的としていましたが、研究者たちはより危険なペイロードを発見しました。それが、これまでに知られていなかったマルウェアファミリー「ZnDoor」です。ZnDoorは、少なくとも2023年12月から流通しており、複数のセクターにおけるネットワークデバイスの侵害に関与していると見られています。
ZnDoorは、高度なリモートアクセス型トロイの木馬(RAT)であり、包括的なシステム制御とラテラルムーブメント(横方向の移動)が可能です。このマルウェアは、検出メカニズム、フォレンジック分析、従来のエンドポイントセキュリティソリューションを回避するために設計された高度な回避技術を備えています。
攻撃の流れとエクスプロイトチェーン
攻撃は、React2Shellの脆弱性の悪用から始まります。この脆弱性に対しては、すでに公開されている概念実証(PoC)コードが存在し、広く公開されているウェブサービスが被害に遭う可能性があります。初期の侵害により、攻撃者のインフラからZnDoorをダウンロード・実行するためのコマンドが実行されます。ZnDoorが確立されると、マルウェアはZnDoorの配布に使用されたのと同じインフラ上にホストされているコマンド&コントロール(C2)サーバーと持続的に通信します。
ZnDoorのサンプルに埋め込まれた設定データは、Base64エンコード後にAES-CBC暗号化を使用して暗号化されています。分析により、ハードコードされたC2インフラ(ドメイン:api.qtss[.]cc、ポート:443)が明らかになりました。マルウェアは、「source=redhat」やバージョン識別子などのパラメータを組み込んだ一貫したパターンを使用してC2 URLを構築しており、正当なトラフィックになりすまそうとしている可能性が示唆されています。
ZnDoorは、約1秒ごとにシステム偵察データをJSONペイロードとしてエンコードして送信し、C2インフラと継続的に通信します。各ビーコンには、以下の重要なデバイス情報が含まれています。
- ローカルIPアドレス
- MD5ハッシュ化されたユーザー識別子
- ホスト名
- ユーザー名
- オペレーティングシステムの詳細
- 利用可能なポートフォワーディング機能
マルウェアは、標準的なウェブトラフィック内での通信を隠蔽するために、正当なSafariユーザーエージェント文字列を偽装します。
このRAT機能は、シェル実行、対話型ターミナルアクセス、ディレクトリ列挙、ファイル操作、SOCKS5プロキシのインスタンス化など、文書化されたコマンドセットを通じて、オペレーターに包括的なシステム制御を提供します。ファイルタイムスタンプの操作により、オペレーターはフォレンジックインジケーターを変更でき、ポートフォワーディング機能は侵害されたネットワーク内でのラテラルムーブメントを容易にします。
回避と検出回避
ZnDoorは、検出と削除を阻止するために複数の高度な回避技術を採用しています。プロセス名偽装は、プロセスリスト内でのマルウェアの存在を隠蔽します。また、自動タイムスタンプ変更により、ファイルメタデータが2016年1月15日に設定されます。これは、時間ベースのセキュリティ制御とフォレンジック分析を回避することを目的とした技術です。
ZnDoorは、子プロセス実行による自己再起動メカニズムを実装しており、PIDベースの終了を困難にし、サンドボックスベースの動的分析を妨げます。これらの多層的な回避能力は、従来のセキュリティ対応手順を大幅に阻害し、インシデント調査のタイムラインを複雑にします。組織は従来の監視では侵害されたプロセスを容易に特定できず、アンチウイルス回避技術は検出効果を低下させます。
推奨される保護対策
公開されているReact2Shellの脆弱性とZnDoorの高度な機能が結びつくことで、影響を受ける企業にとって重大なリスクが生じます。影響を受けるフレームワークを運用する組織は、不審なReact/Next.jsアプリケーションの挙動を継続的に監視することが不可欠です。React2Shellの脆弱性の即時パッチ適用と、ZnDoor活動の兆候に対する包括的なエンドポイント監視が推奨される保護対策です。