勒索軟體Weaxor加入利用React滿分漏洞的行列

本月初React開發工程團隊修補滿分資安漏洞CVE-2025-55182（React2Shell），不久後就有多組中國國家級駭客用於實際攻擊，接續傳出北韓駭客、殭屍網路，以及挖礦軟體加入利用行列的消息，現在傳出也有勒索軟體運用這個漏洞的情況。

企業情報暨風險顧問公司S-RM發現，有基於財務動機犯案的駭客組織對他們客戶下手，企圖部署勒索軟體Weaxor，過程裡使用React2Shell取得初期的存取管道。駭客在12月5日成功入侵後，隨即執行經混淆處理的PowerShell指令，下載Cobalt Strike並部署Beacon，以建立C2通訊。接著，他們停用Windows內建防毒軟體Microsoft Defender的即時防護功能，部署勒索軟體有效酬載。

值得留意的是，駭客從成功入侵到執行勒索軟體，僅花了不到一分鐘的時間，這代表所有攻擊流程可能透過自動化執行，此外，他們並未進一步橫向移動到其他內部系統，也沒有竊取資料或是外洩。後續受害主機遭到其他駭客入侵，並部署自己的C2通訊機制，不過，S-RM並未透露這些駭客的身分，也沒有說明相關細節。

針對Weaxor的來歷，S-RM指出此為去年出現的勒索軟體，很可能是勒索軟體Mallox改名而成。儘管Mallox曾以租用服務（Ransomware-as-a-Service）提供買家運用，不過，Weaxor並未採用這種型態的經營模式，使用此勒索軟體的駭客，通常會鎖定能透過網際網路存取的網頁伺服器發動攻擊。