Bir fidye yazılımı çetesi, kurumsal ağlara ilk erişim sağlamak için kritik React2Shell güvenlik açığından (CVE-2025-55182) yararlandı ve bir dakikadan kısa bir süre sonra dosya şifreleyen kötü amaçlı yazılımı dağıttı.
React2Shell, React kütüphanesi ve Next.js çerçevesi tarafından kullanılan React Server Components (RSC) ‘Flight’ protokolündeki güvenli olmayan bir seri durumdan çıkarma sorunudur. Sunucu bağlamında JavaScript kodunu yürütmek için kimlik doğrulaması olmadan uzaktan kullanılabilir.
İfşa edilmesinden birkaç saat sonra, ulus devlet korsanları onu siber casusluk operasyonlarında kullanmaya veya yeni EtherRAT kötü amaçlı yazılımını dağıtmaya başladı. Siber suçlular da kripto para madenciliği saldırılarında bundan faydalanmakta hızlı davrandılar.
Ancak kurumsal istihbarat ve siber güvenlik şirketi S-RM’deki araştırmacılar, React2Shell’in 5 Aralık’ta Weaxor fidye yazılımı türünü kullanan bir tehdit aktörü tarafından gerçekleştirilen saldırıda kullanıldığını gözlemledi.
Weaxor fidye yazılımı saldırısı
Weaxor fidye yazılımı 2024’ün sonlarında ortaya çıktı ve MS-SQL sunucularını tehlikeye atmaya odaklanan Mallox/FARGO operasyonunun (“TargetCompany” olarak da bilinir) yeniden markalandığına inanılıyor.
Mallox gibi Weaxor da nispeten düşük fidye gerektiren fırsatçı saldırılarla halka açık sunucuları hedef alan daha az karmaşık bir işlemdir.
Operasyonun çifte gasp için bir veri sızıntısı portalı yok ve şifreleme aşamasından önce veri sızıntısı yaptığına dair bir gösterge yok.
S-RM araştırmacıları, tehdit aktörünün React2Shell aracılığıyla ilk erişimi sağladıktan kısa bir süre sonra şifreleyiciyi devreye aldığını söylüyor. Bu, otomatik bir saldırıyı akla getirse de araştırmacılar, ele geçirilen ortamda teoriyi destekleyecek herhangi bir kanıt bulamadılar.
İhlalin hemen ardından bilgisayar korsanları, komuta ve kontrol (C2) iletişimi için bir Cobalt Strike işaretini konuşlandıran, gizlenmiş bir PowerShell komutunu çalıştırdı.
Bir sonraki adımda saldırgan, Windows Defender’da gerçek zamanlı korumayı devre dışı bıraktı ve fidye yazılımı yükünü başlattı. Bütün bunlar, ilk erişim aşamasından bu yana bir dakikadan kısa bir sürede gerçekleşti.
Araştırmacılara göre herhangi bir yanal hareket etkinliği gözlemlemedikleri için saldırı, React2Shell’e karşı savunmasız olan uç noktayla sınırlıydı.
Şifrelemenin ardından dosyalar ‘.WEAX’ uzantısına sahipti ve etkilenen her dizinde, saldırganın ödeme talimatlarını içeren ‘RECOVERY INFORMATION.txt’ adında bir fidye notu dosyası vardı.
S-RM, Weaxor’un ayrıca kolay geri yüklemeyi önlemek için birim gölge kopyalarını sildiğini ve adli analizi daha zor hale getirmek için olay günlüklerini temizlediğini söylüyor.
Özellikle araştırmacılar, aynı ana bilgisayarın daha sonra farklı yükler kullanan diğer saldırganlar tarafından tehlikeye atıldığını ve bunun da React2Shell çevresindeki kötü amaçlı aktivite düzeyinin göstergesi olduğunu bildirdi.
S-RM, sistem yöneticilerinin Windows olay günlüklerini ve EDR telemetrisini, Node veya React ile ilgili ikili dosyalardan işlem oluşturulduğuna dair herhangi bir kanıt için incelemesini önerir; zira yama tek başına yeterli değildir.
Süreç doğuşu cmd.exe veya powershell.exe itibaren düğüm.exe React2Shell’den yararlanmanın güçlü bir göstergesidir Olağandışı giden bağlantılar, devre dışı bırakılan güvenlik çözümleri, günlük temizleme ve kaynak artışları da kapsamlı bir şekilde araştırılmalıdır.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.