あるランサムウェア集団が重大なReact2Shellの脆弱性(CVE-2025-55182)を悪用して企業ネットワークへの初期侵入に成功し、その後1分も経たないうちにファイル暗号化型マルウェアを展開しました。
React2Shell は、ReactライブラリおよびNext.jsフレームワークで使用されるReact Server Components(RSC)の「Flight」プロトコルにおける安全でないデシリアライズの問題です。認証なしでリモートから悪用でき、サーバーのコンテキストで JavaScript コードを実行できます。
公開から数時間以内に、国家支援型ハッカーがサイバー諜報活動で悪用したり、新たなEtherRATマルウェアを展開したりし始めました。サイバー犯罪者もまた、 暗号通貨マイニング 攻撃で迅速に悪用しました。
しかし、企業インテリジェンスおよびサイバーセキュリティ企業S-RMの研究者は、12月5日にWeaxorランサムウェア亜種を展開した脅威アクターによる攻撃でReact2Shellが使用されているのを確認しました。
Weaxorランサムウェア攻撃
Weaxorランサムウェアは2024年後半に登場し、 Mallox/FARGOの活動 (「TargetCompany」とも呼ばれる)のリブランドであると考えられています。同活動はMS-SQLサーバーの侵害に注力していました。
Malloxと同様に、Weaxorは高度さに欠ける活動で、公開されているサーバーを機会主義的に攻撃し、比較的低額の身代金を要求します。
この活動には二重恐喝のためのデータ漏えいポータルがなく、暗号化段階の前にデータを持ち出す(流出させる)ことを行っている兆候もありません。
S-RMの研究者によれば、脅威アクターはReact2Shellを通じて初期アクセスを得た直後に暗号化プログラムを展開しました。これは自動化された攻撃を示唆しますが、研究者は侵害された環境内でその仮説を裏付ける証拠を見つけられませんでした。
侵害直後、ハッカーは難読化されたPowerShellコマンドを実行し、コマンド&コントロール(C2)通信のためのCobalt Strikeビーコンを展開しました。
次の段階で攻撃者はWindows Defenderのリアルタイム保護を無効化し、ランサムウェアのペイロードを起動しました。これらは初期アクセス段階から1分未満で行われました。
研究者によると、攻撃はReact2Shellに脆弱だったエンドポイントに限定されており、横展開の活動は確認されませんでした。
暗号化後、ファイルには「.WEAX」 拡張子が付与され、影響を受けた各ディレクトリには「RECOVERY INFORMATION.txt」という身代金要求メモのファイルが作成され、攻撃者からの支払い手順が記載されていました。
S-RMによれば、Weaxorは容易な復元を防ぐためにボリュームシャドウコピーも削除し、さらにフォレンジック分析をより困難にするためイベントログを消去しました。
注目すべき点として、研究者は同じホストがその後、別のペイロードを用いる他の攻撃者によっても侵害されたと報告しており、これはReact2Shellを巡る悪意ある活動の活発さを示しています。
S-RMは、パッチ適用だけでは不十分であるとして、システム管理者に対し、NodeまたはReactに関連するバイナリからのプロセス生成の痕跡がないか、WindowsイベントログおよびEDRテレメトリを確認するよう提案しています。
node.exeからcmd.exeまたはpowershell.exeが起動されるプロセス生成は、React2Shellの悪用を示す強力な指標です。異常な外向き接続、セキュリティソリューションの無効化、ログ消去、リソース使用量の急増についても、徹底的に調査すべきです。
