-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
2025年12月16日:サイバーセキュリティ関連ニュース
マルウェア拡散にReact2Shellを悪用する中国系脅威グループが新たに複数確認される(CVE-2025-55182)
SecurityWeek – December 15, 2025
脆弱性CVE-2025-55182(React2Shell)を悪用した攻撃について、その実行犯として中国に関連する複数の脅威グループが新たに名指しされている。Google脅威インテリジェンスグループ(GTIG)の調査で判明した。
12月3日に公開され、同日中に悪用が開始されたReact2Shellは、Reactユーザーインターフェースライブラリのバージョン19を使うシステム、とりわけReact Server Components(RSC)を使用するインスタンスに影響を与える重大な脆弱性。そのほかにもNext.js、Waku、React Router、RedwoodSDKを使用する多くのアプリケーションに影響を与えるとされ、細工されたHTTPリクエストを介して認証されていないリモートコード実行に悪用される恐れがあるという。
攻撃者による悪用は3日の時点で開始していたとされ、アマゾンウェブサービス(AWS)は翌4日のブログ記事において、攻撃の実行者として中国系脅威アクターのEarth LamiaとJackpot Pandaを特定していた。一方、同じくReact2Shell攻撃のWeb監視を行ったGTIGも13日に調査結果をまとめたブログ記事を公開。同じく中国に関連するグループUNC6600、UNC6586、UNC6588、UNC6603、UNC6595の少なくとも5組の関与を突き止めたと報告している。
GTIGはEarth LamiaをUNC5454として追跡しているものの、同グループの攻撃については情報を明らかにしていない。一方で残る5組に関しては概要を公開。React2Shellを悪用して「Minocat」というトンネラーが配信されていることや、ダウンローダーの「Snowlight」、バックドアの「Compood」と「Hisonic」、さらにマルウェアの「Angryrebel.Linux」が拡散されていると記した。
React2Shellを悪用した攻撃には中国関連のアクターのほか、北朝鮮アクターの関与も指摘されているが、GTIGはイランに関連するアクターらが同脆弱性を悪用しているのを観測したとも報告。ただし攻撃の詳細は共有しなかった。
React2Shellの公開以降、Reactの脆弱性はさらに3件存在することが明らかになっている。そのうちCVE-2025-55184とCVE-2025-67779は深刻度「高」と評価され、サービス拒否(DoS)攻撃の脆弱性と説明された。もう1つのCVE-2025-55183は深刻度が中程度で、ソースコードの露出につながる危険性が指摘されている。
GitHub上のReact2Shell(CVE-2025-55182)スキャナーがマルウェアだったと判明
サイバーセキュリティ研究者Saurabh氏のレポートにより、脆弱性CVE-2025-55182(React2Shell)のスキャナーを装ったGitHubリポジトリがマルウェアを拡散させるものだったことが判明した。「React2shell-scanner」と名付けられた同プロジェクトはユーザー「niha0wa」によってホストされていたが、コミュニティからの通報を受けてGitHubから削除されている。
Saurabh氏はコードに不審な動作があることを確認した後、LinkedInで先週このツールについて注意喚起。スクリプトにはmshta.exeを実行し、py-installer(.)ccからリモートファイルを取得するよう設計された隠しペイロードが含まれていたことを報告した。これは、第二段階のマルウェアをドロップするために使用される既知の手法と一致している。提供されたスクリプトは同氏の警告を裏付けており、react2shellpy.pyにマルウェアが埋め込まれ、base64エンコードされた文字列の一部がPowerShellコマンドにデコードされていたのが見受けられる。
このマルウェアはWindowsデバイスを標的とし、有害スクリプトの実行に悪用されることの多い正規のWindowsツール「mshta.exe」を使用。GitHubにホストされた不正なカスタムスクリプトを参照していたことや、当該スクリプトがユーザーに警告を出したり、疑念を抱かせたりすることもなく実行されるものだったこともSaurabh氏の投稿内容から読み取れる。
スキャナー自体がCVE-2025-55182を調査するセキュリティ専門家向けに提供され、有用な正規のユーティリティツールを装っていたため、多くの研究者を危険にさらすことになったとHackReadは記している。Saurabh氏の警告はこちらから全文を確認できる。
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
地政学レポート
インテリジェンス要件定義に関するガイドブック
ディープ&ダークウェブレポート
とは?.jpg)