تم استغلال ثغرة React2Shell الخطيرة في هجمات برامج الفدية

استغلت عصابة برامج الفدية ثغرة React2Shell الحرجة (CVE-2025-55182) للوصول الأولي إلى شبكات الشركة ونشرت البرامج الضارة لتشفير الملفات بعد أقل من دقيقة.

رد الفعل 2شيلهي مشكلة إلغاء تسلسل غير آمنة في بروتوكول “Flight” لمكونات خادم React Server (RSC) الذي تستخدمه مكتبة React وإطار عمل Next.js. يمكن استغلالها عن بعد دون مصادقة لتنفيذ تعليمات JavaScript البرمجية في سياق الخادم.

وبعد ساعات من الكشف عنها..”https://www.bleepingcomputer.com/news/security/react2shell-critical-flaw-actively-exploited-in-china-linked-attacks/” الهدف=”_blank” rel=”nofollow noopener”> قراصنة الدولة القومية بدأوا باستغلالها في عمليات التجسس الإلكتروني أو”https://www.bleepingcomputer.com/news/security/north-korean-hackers-exploit-react2shell-flaw-in-etherrat-malware-attacks/” الهدف=”_blank” rel=”nofollow noopener”>نشر برامج ضارة جديدة لـ EtherRAT. وسارع مجرمو الإنترنت أيضًا إلى استغلالها”https://www.bleepingcomputer.com/news/security/google-links-more-chinese-hacking-groups-to-react2shell-attacks/” الهدف=”_blank” rel=”nofollow noopener”> تعدين العملات المشفرةالهجمات.

“https://www.bleepstatic.com/content/webinar-images/Action1-970×250-watch-now.jpg” البديل=”Wiz”>

ومع ذلك، لاحظ الباحثون في شركة استخبارات الشركات والأمن السيبراني S-RM استخدام React2Shell في هجوم بتاريخ 5 ديسمبر من قبل جهة تهديد نشرت سلالة Weaxor Ransomware.

هجوم برنامج الفدية Weaxor

ظهر برنامج Weaxor Ransomware في أواخر عام 2024 ويُعتقد أنه عبارة عن علامة تجارية جديدة لـ”https://www.bleepingcomputer.com/news/security/new-mallox-ransomware-linux-variant-based-on-leaked-kryptina-code/” الهدف=”_blank” rel=”nofollow noopener”>عملية مالوكس/فارجو(المعروفة أيضًا باسم “TargetCompany”) التي ركزت على”https://www.bleepingcomputer.com/news/security/microsoft-sql-servers-hacked-in-targetcompany-ransomware-attacks/” الهدف=”_blank” rel=”nofollow noopener”> المساس بخوادم MS-SQL.

مثل Mallox، تعد Weaxor عملية أقل تعقيدًا تستهدف الخوادم العامة بهجمات انتهازية تتطلب فدية منخفضة نسبيًا.

ولا تحتوي العملية على بوابة لتسريب البيانات للابتزاز المزدوج، ولا يوجد ما يشير إلى أنها تقوم بتسريب البيانات قبل مرحلة التشفير.

إس آر إم”https://www.s-rminform.com/latest-thinking/react2shell-used-as-initial-access-vector-for-weaxor-ransomware-deployment” الهدف=”_blank” rel=”nofollow noopener”> يقول الباحثون أن جهة التهديد قامت بنشر برنامج التشفير بعد وقت قصير من حصولها على الوصول الأولي من خلال React2Shell. وفي حين يشير هذا إلى هجوم آلي، لم يجد الباحثون أي دليل في البيئة المخترقة لدعم النظرية.

مباشرة بعد الاختراق، نفذ المتسللون أمر PowerShell المبهم الذي نشر منارة Cobalt Strike لاتصالات القيادة والتحكم (C2).

في الخطوة التالية، قام المهاجم بتعطيل الحماية في الوقت الفعلي في Windows Defender وأطلق حمولة برامج الفدية. كل هذا حدث في أقل من دقيقة منذ مرحلة الوصول الأولية.

ووفقا للباحثين، اقتصر الهجوم على نقطة النهاية التي كانت عرضة لهجوم React2Shell، حيث لم يلاحظوا أي نشاط للحركة الجانبية.

بعد التشفير، كان للملفات الامتداد “.WEAX”، وكان كل دليل متأثر يحتوي على ملف مذكرة فدية يسمى “RECOVERY INFORMATION.txt”، والذي يحتوي على تعليمات الدفع من المهاجم.

يقول S-RM أن Weaxor قام أيضًا بمسح النسخ الاحتياطية لمنع الاستعادة السهلة ومسح سجلات الأحداث لجعل تحليل الطب الشرعي أكثر صعوبة.

والجدير بالذكر أن الباحثين أفادوا أن نفس المضيف تعرض لاحقًا للاختراق من قبل مهاجمين آخرين باستخدام حمولات مختلفة، مما يدل على مستوى النشاط الضار حول React2Shell.

يقترح S-RM أن يقوم مسؤولو النظام بمراجعة سجلات أحداث Windows وقياس EDR عن بعد بحثًا عن أي دليل على إنشاء العملية من الثنائيات المرتبطة بـ Node أو React، لأن التصحيح وحده لا يكفي.

عملية التفريخ cmd.exe أو powershell.exe من العقدة.exe يعد مؤشرًا قويًا على استغلال React2Shell، ويجب أيضًا إجراء تحقيق شامل في الاتصالات الصادرة غير العادية، وحلول الأمان المعطلة، ومسح السجل، وارتفاع الموارد.