Μια συμμορία ransomware εκμεταλλεύτηκε την κρίσιμη ευπάθεια React2Shell (CVE-2025-55182) για να αποκτήσει αρχική πρόσβαση στα εταιρικά δίκτυα και ανέπτυξε το κακόβουλο λογισμικό κρυπτογράφησης αρχείων λιγότερο από ένα λεπτό αργότερα.
Το React2Shell είναι ένα μη ασφαλές ζήτημα αποσυναρμολόγησης στο πρωτόκολλο ‘Flight’ των React Server Components (RSC) που χρησιμοποιείται από τη βιβλιοθήκη React και το πλαίσιο Next.js. Μπορεί να γίνει απομακρυσμένη εκμετάλλευση χωρίς έλεγχο ταυτότητας για την εκτέλεση κώδικα JavaScript στο περιβάλλον του διακομιστή.
Μέσα σε λίγες ώρες από την αποκάλυψή του, χάκερ εθνικών κρατών άρχισαν να το εκμεταλλεύονται σε επιχειρήσεις κυβερνοκατασκοπείας ή να αναπτύσσουν νέο κακόβουλο λογισμικό EtherRAT. Οι κυβερνοεγκληματίες έσπευσαν επίσης να το αξιοποιήσουν σε επιθέσεις εξόρυξης κρυπτονομισμάτων.
Ωστόσο, ερευνητές στην εταιρεία εταιρικών πληροφοριών και ασφάλειας στον κυβερνοχώρο S-RM παρατήρησαν ότι το React2Shell χρησιμοποιήθηκε σε επίθεση στις 5 Δεκεμβρίου από έναν παράγοντα απειλής που ανέπτυξε το στέλεχος ransomware Weaxor.
Επίθεση ransomware Weaxor
Το Weaxor ransomware εμφανίστηκε στα τέλη του 2024 και πιστεύεται ότι είναι ένα rebrand της επιχείρησης Mallox/FARGO (επίσης γνωστή ως «TargetCompany») που επικεντρώθηκε στον κίνδυνο διακομιστών MS-SQL.
Όπως το Mallox, έτσι και το Weaxor είναι μια λιγότερο εξελιγμένη λειτουργία που στοχεύει διακομιστές που αντιμετωπίζουν το κοινό με ευκαιριακές επιθέσεις που απαιτούν σχετικά χαμηλά λύτρα.
Η λειτουργία δεν διαθέτει πύλη διαρροής δεδομένων για διπλό εκβιασμό και δεν υπάρχει ένδειξη ότι εκτελεί διήθηση δεδομένων πριν από τη φάση κρυπτογράφησης.
S-RM λένε οι ερευνητές ότι ο παράγοντας απειλής ανέπτυξε τον κρυπτογράφηση λίγο μετά την αρχική πρόσβαση μέσω του React2Shell. Αν και αυτό υποδηλώνει μια αυτοματοποιημένη επίθεση, οι ερευνητές δεν βρήκαν κανένα στοιχείο στο παραβιασμένο περιβάλλον που να υποστηρίζει τη θεωρία.
Αμέσως μετά την παραβίαση, οι χάκερ εκτέλεσαν μια συγκεχυμένη εντολή PowerShell που ανέπτυξε έναν φάρο Cobalt Strike για επικοινωνία εντολής και ελέγχου (C2).
Στο επόμενο βήμα, ο εισβολέας απενεργοποίησε την προστασία σε πραγματικό χρόνο στο Windows Defender και ξεκίνησε το ωφέλιμο φορτίο ransomware. Όλα αυτά συνέβησαν σε λιγότερο από ένα λεπτό από το αρχικό στάδιο πρόσβασης.
Σύμφωνα με τους ερευνητές, η επίθεση περιορίστηκε στο τελικό σημείο που ήταν ευάλωτο στο React2Shell, καθώς δεν παρατήρησαν καμία δραστηριότητα πλευρικής κίνησης.
Μετά την κρυπτογράφηση, τα αρχεία είχαν την επέκταση “.WEAX” και κάθε κατάλογος που επηρεαζόταν είχε ένα αρχείο σημείωσης λύτρων με το όνομα “RECOVERY INFORMATION.txt”, το οποίο περιείχε οδηγίες πληρωμής από τον εισβολέα.
Η S-RM λέει ότι το Weaxor σκούπισε επίσης τα σκιώδη αντίγραφα τόμου για να αποτρέψει την εύκολη επαναφορά και διέγραψε τα αρχεία καταγραφής συμβάντων για να κάνει την εγκληματολογική ανάλυση πιο δύσκολη.
Συγκεκριμένα, οι ερευνητές αναφέρουν ότι ο ίδιος κεντρικός υπολογιστής παραβιάστηκε στη συνέχεια από άλλους εισβολείς που χρησιμοποιούν διαφορετικά ωφέλιμα φορτία, κάτι που είναι ενδεικτικό του επιπέδου κακόβουλης δραστηριότητας γύρω από το React2Shell.
Η S-RM προτείνει στους διαχειριστές του συστήματος να ελέγχουν τα αρχεία καταγραφής συμβάντων των Windows και την τηλεμετρία EDR για τυχόν στοιχεία δημιουργίας διεργασιών από δυαδικά αρχεία που σχετίζονται με το Node ή το React, καθώς η ενημέρωση κώδικα από μόνη της δεν αρκεί.
Διαδικασία ωοτοκίας του cmd.exe ή powershell.exe από node.exe είναι ένας ισχυρός δείκτης εκμετάλλευσης του React2Shell Οι ασυνήθιστες εξερχόμενες συνδέσεις, οι απενεργοποιημένες λύσεις ασφαλείας, η εκκαθάριση αρχείων καταγραφής και οι αιχμές πόρων θα πρέπει επίσης να διερευνηθούν διεξοδικά.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
