Lỗ hổng nghiêm trọng của React2Shell bị khai thác trong các cuộc tấn công mã độc tống tiền

React2Shell là một lỗ hổng giải mã dữ liệu không an toàn trong giao thức Flight của React Server Components (RSC) được sử dụng bởi thư viện React và framework Next.js. Lỗ hổng này có thể bị khai thác từ xa mà không cần xác thực để thực thi mã JavaScript trên máy chủ.

Chỉ vài giờ sau khi bị phát hiện, các tin tặc do nhà nước hậu thuẫn đã bắt đầu khai thác lỗ hổng này trong các hoạt động gián điệp mạng hoặc để cài đặt mã độc EtherRAT mới. Tội phạm mạng cũng nhanh chóng tận dụng nó trong các cuộc tấn công khai thác tiền điện tử.

Theo các nhà nghiên cứu tại Công ty tình báo doanh nghiệp và an ninh mạng S-RM, React2Shell được sử dụng trong một cuộc tấn công vào ngày 5/12 bởi một tác nhân đe dọa nhằm phát tán mã độc tống tiền Weaxor.

Thực tế, Weaxor xuất hiện lần đầu vào cuối năm 2024 và được cho là phiên bản đổi tên của nhóm Mallox/FARGO (còn được gọi là TargetCompany) tập trung vào việc tấn công các máy chủ MSSQL. Tương tự như Mallox, Weaxor là một nhóm tin tặc hoạt động kém tinh vi hơn, nhắm mục tiêu vào các máy chủ công cộng bằng các cuộc tấn công mang tính cơ hội và đòi tiền chuộc tương đối thấp.

Chiến dịch này không có cổng rò rỉ dữ liệu để tống tiền kép và không có dấu hiệu nào cho thấy nó thực hiện việc đánh cắp dữ liệu trước giai đoạn mã hóa.

Các nhà nghiên cứu của S-RM cho biết, kẻ tấn công đã triển khai phần mềm mã hóa ngay sau khi giành được quyền truy cập ban đầu thông qua React2Shell. Mặc dù điều này cho thấy một cuộc tấn công tự động, nhưng các nhà nghiên cứu không tìm thấy bất kỳ bằng chứng nào trong môi trường bị xâm nhập để củng cố thêm nhận định này.

Ngay sau khi xâm nhập, tin tặc thực thi một lệnh PowerShell được mã hóa để cài đặt Cobalt Strike nhằm phục vụ cho việc liên lạc máy chủ điều khiển và ra lệnh (C2) của chúng.

Bước tiếp theo, kẻ tấn công vô hiệu hóa tính năng bảo vệ thời gian thực trong Windows Defender và khởi chạy mã độc tống tiền. Toàn bộ quá trình này diễn ra chưa đầy một phút kể từ giai đoạn truy cập ban đầu. Theo các nhà nghiên cứu, cuộc tấn công chỉ giới hạn ở điểm cuối dễ bị tổn thương bởi React2Shell, vì họ không quan sát thấy bất kỳ hoạt động di chuyển ngang hàng nào.

Sau khi mã hóa, các tệp tin có phần mở rộng WEAX và mỗi thư mục bị ảnh hưởng đều có một tệp ghi chú đòi tiền chuộc tên là “RECOVERY INFORMATION.txt”, bao gồm thông tin hướng dẫn thanh toán từ kẻ tấn công.

S-RM cho biết Weaxor cũng đã xóa các các bản shadow copy để ngăn chặn việc khôi phục và xóa log sự kiện để gây khó khăn hơn cho việc phân tích điều tra số. Đáng chú ý, các nhà nghiên cứu báo cáo rằng cùng một máy chủ đó sau này đã bị các tin tặc khác xâm nhập bằng cách sử dụng các payload khác nhau, điều này cho thấy mức độ hoạt động độc hại xung quanh React2Shell.

S-RM khuyến nghị quản trị viên hệ thống nên xem xét log sự kiện Windows và dữ liệu đo từ xa EDR để tìm bất kỳ bằng chứng nào về việc tạo tiến trình từ các tệp nhị phân liên quan đến Node hoặc React, vì chỉ vá lỗi thôi là chưa đủ.

Việc khởi tạo tiến trình cmd[.]exe hoặc powershell[.]exe từ node[.]exe là một dấu hiệu mạnh mẽ cho thấy lỗ hổng React2Shell đang bị khai thác. Các kết nối ra ngoài bất thường, các giải pháp bảo mật bị vô hiệu hóa, việc xóa log và sự tăng đột biến tài nguyên cũng cần được điều tra kỹ lưỡng.