CVE-2025-55182
Выявлена масштабная кампания по сбору учетных данных, использующая уязвимость React2Shell в качестве основного вектора заражения. Эта операция нацелена на уязвимые приложения Next.js, в частности, на использование CVE-2025-55182, критической уязвимости с оценкой CVSS 10.0, затрагивающей компоненты React Server и маршрутизатор приложений Next.js. Успешная эксплуатация позволяет удаленно выполнять код, предоставляя злоумышленникам возможность получить первоначальный доступ к целевым системам.
Исследователи в области безопасности связали эту активность с кластером угроз, отслеживаемым как UAT-10608. В рамках этой кампании уже скомпрометировано как минимум 766 хостов в различных географических регионах и облачных средах, что демонстрирует как масштаб, так и оперативный охват.
Оглавление
Автоматизированное вторжение в больших масштабах: широкое и неизбирательное нацеливание.
Схема атаки отражает высокоавтоматизированные методы разведки и эксплуатации уязвимостей. Предполагается, что злоумышленники используют крупномасштабные инструменты сканирования, такие как Shodan, Censys или специально разработанные сканеры, для выявления общедоступных развертываний Next.js, подверженных этой уязвимости.
Эта стратегия неизбирательного выбора целей позволяет быстро выявлять уязвимые системы, значительно повышая вероятность успеха и масштаб компрометации.
Многоэтапное развертывание полезной нагрузки: от доступа до сбора данных.
После первоначального взлома развертывается вредоносная программа, которая устанавливает многоэтапную систему сбора данных, известную как NEXUS Listener. Эта система управляет автоматизированными скриптами, предназначенными для извлечения конфиденциальных данных из зараженных систем и их передачи в централизованную инфраструктуру управления и контроля (C2).
Процесс сбора урожая является масштабным и включает в себя систематический сбор следующих материалов:
- Переменные среды и конфигурации среды выполнения, полученные с помощью JSON-анализа.
- Файлы закрытых ключей SSH и authorized_keys
- История команд оболочки и подробная информация о запущенных процессах.
- Токены учетных записей служб Kubernetes и конфигурации контейнеров Docker.
- Ключи API, учетные данные базы данных и секреты облачных сервисов.
- Временные учетные данные IAM получены через облачные службы метаданных (AWS, Google Cloud, Microsoft Azure).
NEXUS Listener: Централизованная разведка и управление
В основе операции лежит NEXUS Listener — защищенное паролем веб-приложение, размещенное на инфраструктуре управления и контроля злоумышленников. Этот интерфейс предоставляет операторам комплексную графическую панель для мониторинга и анализа украденных данных.
Ключевые возможности платформы включают в себя:
- Отслеживание скомпрометированных хостов и полученных учетных данных в режиме реального времени.
- Функция поиска для эффективной фильтрации и анализа данных.
- Сводная статистика с подробным описанием типов и объемов сертификатов.
- Системные показатели, такие как время безотказной работы приложений и рабочее состояние.
Текущая версия, NEXUS Listener V3, свидетельствует о продолжающейся разработке и усовершенствовании, что говорит о зрелом и развивающемся наборе инструментов.
Раскрытие ценных секретов: опасный кэш данных
В некоторых случаях неправильно настроенные или неаутентифицированные панели NEXUS Listener раскрывали широкий спектр конфиденциальных учетных данных. К ним относятся ключи API, связанные с финансовыми сервисами, такими как Stripe, платформами искусственного интеллекта, такими как OpenAI, Anthropic и NVIDIA NIM, а также коммуникационными сервисами, включая SendGrid и Brevo.
К числу дополнительных уязвимых ресурсов относятся токены ботов Telegram, секреты веб-хуков, токены GitHub и GitLab, а также строки подключения к базам данных. Такой широкий спектр скомпрометированных данных значительно увеличивает потенциал для последующих атак.
Стратегическое значение: картирование целых инфраструктурных экосистем.
Помимо индивидуальных учетных данных, агрегированные данные предоставляют подробную схему среды жертвы. Злоумышленники получают доступ к информации о развернутых сервисах, шаблонах конфигурации, используемых облачных провайдерах и интеграциях со сторонними сервисами.
Подобная информация позволяет проводить высокоцелевые последующие операции, включая горизонтальное перемещение, повышение привилегий, кампании социальной инженерии или перепродажу доступа другим субъектам угроз.
Защитные меры: снижение рисков и ограничение воздействия
Масштаб и глубина этой кампании подчеркивают необходимость принятия упреждающих мер безопасности. Организации должны уделять первостепенное внимание тщательному аудиту среды и практике управления учетными данными для снижения рисков.
Рекомендуемые действия включают:
- Обеспечение соблюдения принципа минимальных привилегий во всех системах и сервисах.
Для защиты от все более автоматизированных и масштабных операций по сбору учетных данных крайне важен дисциплинированный подход к контролю доступа и непрерывному мониторингу.
