랜섬웨어 갱이 중요한 React2Shell 취약점(CVE-2025-55182)을 이용해 기업 네트워크에 초기 접근을 획득하고, 이후 1분 미만의 시간 동안 파일 암호화 악성 소프트웨어를 배포했습니다. React2Shell은 React 라이브러리와 Next.js 프레임워크에서 사용되는 'Flight' 프로토콜의 불안전한 역직렬화 문제로, 서버의 컨텍스트에서 JavaScript 코드를 실행할 수 있게 해줍니다. 이 취약점이 공개된 후 몇 시간 이내에 국가 주도 해커들이 이를 이용해 사이버 스파이 작업을 수행하거나 새로운 EtherRAT 악성 소프트웨어를 배포하기 시작했습니다. 또한, 사이버 범죄자들도 이를 이용해 암호화폐 채굴 공격을 신속하게 수행했습니다.
기업 정보 및 사이버 보안 회사인 S-RM의 연구원들은 12월 5일에 Weaxor 랜섬웨어 변종을 배포한 위협 요소가 React2Shell을 공격에 사용한 것을 관찰했습니다. Weaxor 랜섬웨어는 2024년 말에 등장했으며, MS-SQL 서버를 침투하는 데 초점을 맞춘 Mallox/FARGO 작업('TargetCompany'라고도 알려져 있음)의 재브랜딩으로 여겨집니다. Mallox와 마찬가지로 Weaxor는 상대적으로 낮은 랜섬을 요구하는 기회주의적 공격을 대상으로 하는 덜 복잡한 작업입니다. 이 작업은 이중 강요를 위한 데이터 유출 포털이 없으며, 암호화 단계 이전에 데이터 추출을 수행하는 것으로 보이지 않습니다. S-RM 연구원들은 위협 요소가 React2Shell을 통해 초기 접근을 획득한 직후에 암호화 도구를 배포했다고 말했습니다.
요약
- 랜섬웨어 갱이 중요한 React2Shell 취약점을 이용해 기업 네트워크에 초기 접근을 획득하고, 이후 1분 미만의 시간 동안 파일 암호화 악성 소프트웨어를 배포했다.
- 기업 정보 및 사이버 보안 회사인 S-RM의 연구원들은 12월 5일에 Weaxor 랜섬웨어 변종을 배포한 위협 요소가 React2Shell을 공격에 사용한 것을 관찰했다.
- Weaxor 랜섬웨어는 2024년 말에 등장했으며, MS-SQL 서버를 침투하는 데 초점을 맞춘 Mallox/FARGO 작업의 재브랜딩으로 여겨진다.
- S-RM 연구원들은 위협 요소가 React2Shell을 통해 초기 접근을 획득한 직후에 암호화 도구를 배포했다고 말했다.
- 이 공격은 React2Shell에 취약한 엔드포인트로 제한되었으며, 연구원들은 어떤 가로 이동 활동도 관찰하지 못했다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.