Bir fidye yazılımı çetesi, kurumsal ağlara ilk erişim sağlamak için kritik React2Shell güvenlik açığından (CVE-2025-55182) yararlandı ve bir dakikadan kısa bir süre sonra dosya şifreleyen kötü amaçlı yazılımı dağıttı.
React2Shell, React kitaplığı ve Next.js çerçevesi tarafından kullanılan React Sunucu Bileşenleri (RSC) 'Flight' protokolündeki güvenli olmayan bir seri durumdan çıkarma sorunudur. Sunucu bağlamında JavaScript kodunu yürütmek için kimlik doğrulaması olmadan uzaktan kullanılabilir.
İfşa edilmesinden birkaç saat sonra, ulus devlet bilgisayar korsanları siber casusluk operasyonlarında bundan yararlanmaya veya yeni EtherRAT kötü amaçlı yazılımını dağıtmaya başladı. Siber suçlular aynı zamanda kripto para madenciliği saldırılarında da bundan yararlanma konusunda hızlı davrandılar.
Ancak kurumsal istihbarat ve siber güvenlik şirketi S-RM'deki araştırmacılar, React2Shell'in 5 Aralık'ta Weaxor fidye yazılımı türünü kullanan bir tehdit aktörü tarafından yapılan saldırıda kullanıldığını gözlemledi.
Weaxor fidye yazılımı 2024'ün sonlarında ortaya çıktı ve MS-SQL sunucularının güvenliğini ihlal etmeye odaklanan Mallox/FARGO operasyonunun ("TargetCompany" olarak da bilinir) yeniden markalandığına inanılıyor.
Mallox gibi Weaxor da nispeten düşük fidye gerektiren fırsatçı saldırılarla halka açık sunucuları hedef alan daha az karmaşık bir işlemdir.
Operasyonun çifte gasp için bir veri sızıntısı portalı yok ve şifreleme aşamasından önce veri sızıntısı yaptığına dair bir gösterge yok.
S-RM araştırmacıları, tehdit aktörünün React2Shell aracılığıyla ilk erişimi elde ettikten kısa bir süre sonra şifreleyiciyi konuşlandırdığını söylüyor. Bu, otomatik bir saldırıyı akla getirse de araştırmacılar, ele geçirilen ortamda teoriyi destekleyecek herhangi bir kanıt bulamadılar.
İhlalin hemen ardından bilgisayar korsanları, komuta ve kontrol (C2) iletişimi için bir Cobalt Strike işaretini konuşlandıran, gizlenmiş bir PowerShell komutunu çalıştırdı.
Bir sonraki adımda saldırgan, Windows Defender'da gerçek zamanlı korumayı devre dışı bıraktı ve fidye yazılımı yükünü başlattı. Bütün bunlar, ilk erişim aşamasından bu yana bir dakikadan kısa bir sürede gerçekleşti.
Araştırmacılara göre herhangi bir yanal hareket etkinliği gözlemlemedikleri için saldırı, React2Shell'e karşı savunmasız olan uç noktayla sınırlıydı.
Şifrelemenin ardından dosyalar '.WEAX' uzantısına sahipti ve etkilenen her dizinde, saldırganın ödeme talimatlarını içeren 'RECOVERY INFORMATION.txt' adında bir fidye notu dosyası vardı.
S-RM, Weaxor'un ayrıca kolay geri yüklemeyi önlemek için birim gölge kopyalarını sildiğini ve adli analizi daha zor hale getirmek için olay günlüklerini temizlediğini söylüyor.
Özellikle araştırmacılar, aynı ana bilgisayarın güvenliğinin daha sonra farklı yükler kullanan diğer saldırganlar tarafından ele geçirildiğini bildiriyor; bu da React2Shell çevresindeki kötü amaçlı etkinlik düzeyinin göstergesidir.
S-RM, sistem yöneticilerinin Windows olay günlüklerini ve EDR telemetrisini, Node veya React ile ilgili ikili dosyalardan işlem oluşturulduğuna dair herhangi bir kanıt için incelemesini önerir; zira yama tek başına yeterli değildir.
Node.exe'den cmd.exe veya powershell.exe'nin işlem oluşturması, React2Shell'den yararlanmanın güçlü bir göstergesidir Olağandışı giden bağlantılar, devre dışı bırakılmış güvenlik çözümleri, günlük temizleme ve kaynak artışları da kapsamlı bir şekilde araştırılmalıdır.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
Çin bağlantılı saldırılarda aktif olarak kullanılan kritik React2Shell kusuru
Cisco, saldırılarda yamasız AsyncOS sıfır gün istismarına karşı uyardı
Bilgisayar korsanları, Fortinet'in yeni yamalı kimlik doğrulama kusurlarından yararlanıyor
Google, daha fazla Çinli hack grubunu React2Shell saldırılarına bağladı
Bilgisayar korsanları, RCE saldırılarında Gladinet CentreStack şifreleme kusurundan yararlanıyor
Kaynak: Bleeping Computer