概要:React2Shellの深刻な脅威
報告によると、重要なReact2Shellの脆弱性(CVE-2025-55182)が悪用され、あるランサムウェアグループが企業のネットワークに初期アクセスし、その後わずか1分足らずでファイル暗号化マルウェアを展開しました。React2Shellは、ReactライブラリおよびNext.jsフレームワークが使用するReact Server Components (RSC) の「Flight」プロトコルにおける非安全な逆シリアル化の欠陥です。この脆弱性は、認証なしにリモートからサーバーのコンテキストでJavaScriptコードを実行できるため、極めて危険です。
この脆弱性は公開されてから数時間以内に、国家支援型ハッカーによってサイバースパイ活動や新型EtherRATマルウェアの展開に悪用され、またサイバー犯罪者によって暗号通貨マイニング攻撃にも利用されました。そして、企業インテリジェンスおよびサイバーセキュリティ企業のS-RMは、12月5日にWeaxorランサムウェアがこのReact2Shellを悪用した攻撃を確認しました。
Weaxorランサムウェア攻撃の詳細
Weaxorランサムウェアは2024年後半に登場し、MS-SQLサーバーを標的としたMallox/FARGO(別名「TargetCompany」)のリブランドであると考えられています。Malloxと同様に、Weaxorは洗練度が低い作戦であり、公開されているサーバーを日和見的に攻撃し、比較的低額な身代金を要求します。この作戦には二重恐喝のためのデータ漏洩ポータルはなく、暗号化フェーズ前のデータ持ち出しの兆候もありませんでした。
S-RMの研究者によると、攻撃者はReact2Shellを介して初期アクセスを獲得した後、速やかに暗号化ツールを展開しました。これは自動化された攻撃を示唆していますが、S-RMは侵害された環境でその理論を裏付ける証拠を見つけることはできませんでした。
侵害直後、ハッカーは難読化されたPowerShellコマンドを実行してコマンド&コントロール(C2)通信用のCobalt Strikeビーコンを展開しました。次のステップとして、攻撃者はWindows Defenderのリアルタイム保護を無効化し、ランサムウェアペイロードを起動しました。これらすべてが初期アクセスから1分以内に発生しました。
研究者によると、攻撃はReact2Shellに脆弱なエンドポイントに限定されており、横方向への移動活動は観測されませんでした。暗号化後、ファイルには「.WEAX」の拡張子が付与され、影響を受けた各ディレクトリには攻撃者からの支払い指示が記載された「RECOVERY INFORMATION.txt」という身代金要求メモファイルが残されていました。S-RMは、Weaxorが容易な復元を防ぐためにボリュームシャドウコピーを消去し、フォレンジック分析を困難にするためにイベントログもクリアしたと述べています。
特筆すべきは、同じホストがその後、異なるペイロードを使用する他の攻撃者にも侵害されたことで、これはReact2Shellを巡る悪意のある活動のレベルを示しています。
S-RMによる推奨される対策
S-RMは、システム管理者に対し、パッチ適用だけでは不十分であるとして、以下の対策を推奨しています。
- WindowsイベントログとEDRテレメトリーをレビューし、NodeまたはReactに関連するバイナリからのプロセス生成の証拠がないか確認すること。
node.exeからcmd.exeまたはpowershell.exeが起動している場合、これはReact2Shell悪用の強い兆候であるため、徹底的に調査すること。- 不審な外部接続、セキュリティソリューションの無効化、ログの消去、リソーススパイクも徹底的に調査すること。