Ponuda s popustom na više licenci
Baza prijetnji Ranjivost CVE-2025-55182

CVE-2025-55182

Do Mezo. Ranjivost. godine
Prevedi na:

Identificirana je velika kampanja prikupljanja vjerodajnica koja koristi ranjivost React2Shell kao primarni vektor zaraze. Ova operacija cilja ranjive Next.js aplikacije, posebno iskorištavajući CVE-2025-55182, kritičnu manu s CVSS ocjenom 10,0 koja utječe na komponente React Servera i Next.js App Router. Uspješno iskorištavanje omogućuje udaljeno izvršavanje koda, što napadačima omogućuje početni pristup ciljanim sustavima.

Sigurnosni istraživači pripisali su ovu aktivnost skupini prijetnji praćenoj kao UAT-10608. Kampanja je već ugrozila najmanje 766 hostova u više geografskih regija i okruženja u oblaku, demonstrirajući i opseg i operativni doseg.

Automatizirani upad u velikim razmjerima: Široko i neselektivno ciljanje

Uzorak napada odražava visoko automatizirane tehnike izviđanja i iskorištavanja. Vjeruje se da se akteri prijetnji oslanjaju na alate za skeniranje velikih razmjera kao što su Shodan, Censys ili prilagođene skenere kako bi identificirali javno izložene Next.js implementacije podložne ranjivosti.

Ova neselektivna strategija ciljanja omogućuje brzu identifikaciju ranjivih sustava, značajno povećavajući stopu uspjeha i opseg kompromitiranja.

Višefazno raspoređivanje korisnog tereta: od pristupa do prikupljanja podataka

Nakon početne kompromitacije, raspoređuje se dropper za instalaciju višefaznog okvira za prikupljanje podataka poznatog kao NEXUS Listener. Ovaj okvir orkestrira automatizirane skripte osmišljene za izdvajanje osjetljivih podataka iz zaraženih sustava i njihovo prenošenje u centraliziranu infrastrukturu zapovijedanja i kontrole (C2).

Proces žetve je opsežan i sustavno prikuplja:

  • Varijable okruženja i JSON-parsirane konfiguracije izvođenja
  • SSH privatni ključevi i datoteke authorized_keys
  • Povijesti naredbi ljuske i detalji pokrenutih procesa
  • Tokeni servisnog računa Kubernetes i konfiguracije Docker kontejnera
  • API ključevi, vjerodajnice baze podataka i tajne usluge u oblaku
  • Privremene IAM vjerodajnice preuzete putem usluga metapodataka u oblaku (AWS, Google Cloud, Microsoft Azure)

NEXUS Listener: Centralizirana inteligencija i kontrola

U središtu operacije je NEXUS Listener, web-aplikacija zaštićena lozinkom smještena na C2 infrastrukturi napadača. Ovo sučelje pruža operaterima sveobuhvatnu grafičku nadzornu ploču za praćenje i analizu ukradenih podataka.

Ključne mogućnosti platforme uključuju:

  • Uvid u kompromitirane hostove i ukradene vjerodajnice u stvarnom vremenu
  • Funkcionalnost pretraživanja za učinkovito filtriranje i analizu podataka
  • Agregirana statistika s detaljima o vrstama i količinama vjerodajnica
  • Sistemske metrike kao što su vrijeme rada aplikacije i operativni status

Trenutno promatrana verzija, NEXUS Listener V3, ukazuje na kontinuirani razvoj i usavršavanje, što sugerira zreo i evoluirajući skup alata.

Otkrivanje tajni visoke vrijednosti: Opasna predmemorija podataka

U nekim slučajevima, pogrešno konfigurirane ili neautentificirane NEXUS Listener ploče otkrile su širok raspon osjetljivih vjerodajnica. To uključuje API ključeve povezane s financijskim uslugama poput Stripea, platformama umjetne inteligencije poput OpenAI-a, Anthropica i NVIDIA NIM-a, kao i komunikacijskim uslugama uključujući SendGrid i Brevo.

Dodatna izložena imovina uključuje tokene Telegram bota, tajne webhooka, tokene GitHuba i GitLaba te nizove za povezivanje s bazom podataka. Ova širina kompromitiranih podataka značajno povećava potencijal za napade nizvodno.

Strateški utjecaj: Mapiranje cjelokupnih infrastrukturnih ekosustava

Osim pojedinačnih vjerodajnica, agregirani podaci pružaju detaljan nacrt okruženja žrtve. Napadači dobivaju uvid u implementirane usluge, obrasce konfiguracije, korištene pružatelje usluga u oblaku i integracije trećih strana.

Takve obavještajne informacije omogućuju visoko ciljane naknadne operacije, uključujući lateralno kretanje, eskalaciju privilegija, kampanje socijalnog inženjeringa ili preprodaju pristupa drugim prijetnjama.

Obrambeni imperativi: Ublažavanje rizika i ograničavanje izloženosti

Opseg i dubina ove kampanje naglašavaju potrebu za proaktivnim sigurnosnim mjerama. Organizacije moraju dati prioritet rigoroznim revizijama okruženja i praksama upravljanja vjerodajnicama kako bi smanjile izloženost.

Preporučene radnje uključuju:

  • Provođenje načela najmanjih privilegija u svim sustavima i uslugama
  • Omogućavanje automatiziranog tajnog skeniranja za otkrivanje izloženih vjerodajnica
  • Izbjegavanje ponovne upotrebe SSH parova ključeva u različitim okruženjima
  • Provođenje IMDSv2 na svim AWS EC2 instancama radi zaštite pristupa metapodacima
  • Trenutna rotacija svih vjerodajnica u slučaju sumnje na kompromitiranje

    • Discipliniran pristup kontroli pristupa i kontinuiranom praćenju ključan je za obranu od sve automatiziranijih i velikih operacija prikupljanja podataka.

    U trendu

    Dosegnuto ograničenje pohrane - prijevara putem e-pošte

    Krađa identiteta, Spam
    Neočekivane e-poruke često mogu izgledati uvjerljivo, ali budnost je ključna. Kibernetički kriminalci oslanjaju se na hitnost i strah kako bi manipulirali primateljima da poduzmu akciju bez odgovarajuće provjere. Jedna takva raširena prijetnja je prijevara e-poštom 'Dostignuto ograničenje pohrane', obmanjujuća kampanja osmišljena kako bi navela korisnike na interakciju sa zlonamjernim ili...

    Nagledanije

    Učitavam...