СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
23.12.2025
#ИБ

Weaxor: эксплуатация React2Shell (CVE-2025-55182) в Next.js

Инцидент, связанный с развертыванием программы‑вымогателя Weaxor, подтверждает массовую эксплуатацию критической уязвимости React2Shell (CVE-2025-55182). Уязвимость затрагивает серверные компоненты React и фреймворк с открытым исходным кодом Next.js, позволяя злоумышленникам отправлять специально сформированные HTTP‑запросы для выполнения произвольного кода на сервере и получения привилегированного доступа к системе, где запущен веб‑сервер.

Краткая суть инцидента

  • Публичное раскрытие уязвимости React2Shell произошло 3 декабря 2025 года.
  • Уже в течение нескольких часов после публикации злоумышленники — включая акторов, поддерживаемых государствами — начали поиск векторов эксплуатации.
  • Финансово мотивированные группы быстро переключились на внедрение рансомвэра; в данном инциденте использовался штамм Weaxor (ребрендинг ранее известного Mallox).
  • Компрометация корпоративной сети зафиксирована 5 декабря 2025 года.

Техническая цепочка атак

По результатам расследования цепочка атак развивалась следующим образом:

  • Первичный вектор — эксплуатация React2Shell для выполнения произвольного кода через вредоносные HTTP‑запросы.
  • Выполнение запутанной команды PowerShell, которая загрузила и запустила Cobalt Strike PowerShell stager для установки командования и контроля (C2).
  • Отключение защиты в реальном времени антивируса Windows Defender, что облегчило последующие этапы атаки и развертывание полезной нагрузки.
  • Наблюдалось порождение процессов cmd.exe и powershell.exe дочерними от легитимного исполняемого файла node.exe, что указывает на эксплуатацию уязвимости в серверных компонентах Node/Next.js.
  • Очистка журналов событий, совпавшая по времени с развертыванием рансомвэра — знак попытки скрыть следы компрометации.

Индикаторы компрометации (IOC)

В отчёте задокументированы конкретные показатели, включая определённые хэши SHA-1 и связанные IP‑адреса командования и контроля (C2), использованные в ходе атаки. Как отмечается в материале:

«Наличие этих показателей служит для правозащитников важнейшим доказательством для мониторинга и потенциального смягчения подобных попыток эксплуатации в будущем.»

Эти индикаторы следует использовать для настройки обнаружения и блокировки на уровнях сетевого мониторинга, EDR и систем централизованной корреляции событий. Публично перечислять хэши и IP‑адреса здесь нецелесообразно — их следует получать из авторитетных источников угроз и обмена IOC.

Почему это важно

Скорость перехода от публичного раскрытия уязвимости к массовой эксплуатации и распространению рансомвэра подчёркивает критическую уязвимость современных цепочек поставки ПО и веб‑инфраструктуры. Акторы действовали в двух основных направлениях:

  • шпионаж и установка постоянных бэкдоров;
  • финансовые операции — внедрение рансомвэра (Weaxor).

Комбинация удалённого выполнения кода через веб‑компоненты и использования легитимных инструментов (PowerShell, node.exe, Cobalt Strike) делает обнаружение сложным и требует внедрения многоуровневых мер защиты.

Рекомендации для организаций

На основе анализа инцидента эксперты рекомендуют следующие шаги для оперативного снижения риска:

  • Немедленно применить официальные патчи и обновления для React/Next.js и сопутствующих серверных компонентов.
  • Автоматизировать процесс управления уязвимостями и приоритизацию апдейтов для критических CVE.
  • Настроить мониторинг на подозрительные деревья процессов — особенно случаи, когда node.exe порождает cmd.exe или powershell.exe.
  • Обеспечить централизованную запись и сохранение журналов, настроить контроль целостности и оповещения о попытках очистки логов.
  • Развернуть/усилить EDR‑контроль и правила для обнаружения Cobalt Strike и PowerShell stager‑активности.
  • Проверить и заблокировать на сетевом уровне известные C2‑адреса и подозрительные хосты (по IOC из доверенных источников).
  • Провести аудит прав доступа и сегментацию сети, чтобы ограничить горизонтальное распространение.
  • Разработать и отрепетировать планы реагирования на инциденты и восстановления после ransomware.

Заключение

Случай с использованием React2Shell и последующим развертыванием Weaxor — наглядное напоминание об ускорении темпа эксплуатации публично раскрытых уязвимостей. Для снижения рисков организациям необходимо сочетать оперативное патч‑менеджмент, проактивный мониторинг поведения процессов и сетевой трафик, а также готовые процедуры реагирования на инциденты. Только комплексный и автоматизированный подход позволит минимизировать вероятность успешной атаки и её последствий.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: