CVE-2025-55182
Идентификована је кампања крађе акредитива великих размера која користи рањивост React2Shell као примарни вектор инфекције. Ова операција циља рањиве Next.js апликације, посебно искоришћавајући CVE-2025-55182, критичну грешку са CVSS оценом 10,0 која погађа React Server Components и Next.js App Router. Успешна експлоатација омогућава даљинско извршавање кода, омогућавајући нападачима да стекну почетно упориште унутар циљаних система.
Истраживачи безбедности приписали су ову активност кластеру претњи праћеном као UAT-10608. Кампања је већ угрозила најмање 766 хостова у више географских региона и облачних окружења, демонстрирајући и обим и оперативни домет.
Преглед садржаја
Аутоматизовани упад у великим размерама: Широко и неселективно циљање
Образац напада одражава високо аутоматизоване технике извиђања и експлоатације. Верује се да актери претњи ослањају се на алате за скенирање великих размера као што су Shodan, Censys или прилагођене скенере како би идентификовали јавно изложене Next.js имплементације подложне овој рањивости.
Ова неселективна стратегија циљања омогућава брзу идентификацију рањивих система, значајно повећавајући стопу успеха и обим компромитовања.
Вишестепено распоређивање корисног терета: од приступа до прикупљања података
Након почетног компромитовања, распоређује се дроппер за инсталирање вишефазног оквира за прикупљање података познатог као NEXUS Listener. Овај оквир оркестрира аутоматизоване скрипте дизајниране за издвајање осетљивих података из заражених система и њихово преношење у централизовану инфраструктуру командовања и контроле (C2).
Процес жетве је опсежан и систематски се сакупљају:
- Променљиве окружења и JSON-парсиране конфигурације времена извршавања
- SSH приватни кључеви и датотеке authorized_keys
- Историја команди шкољке и детаљи о покретању процеса
- Токени сервисних налога Kubernetes и конфигурације Docker контејнера
- API кључеви, акредитиви базе података и тајне услуга у облаку
- Привремени IAM акредитиви преузети путем услуга метаподатака у облаку (AWS, Google Cloud, Microsoft Azure)
NEXUS Listener: Централизована интелигенција и контрола
У сржи операције је NEXUS Listener, веб апликација заштићена лозинком, која се налази на C2 инфраструктури нападача. Овај интерфејс пружа оператерима свеобухватну графичку контролну таблу за праћење и анализу украдених података.
Кључне могућности платформе укључују:
- Увид у угрожене хостове и прикупљене акредитиве у реалном времену
- Функционалност претраживања за ефикасно филтрирање и анализу података
- Агрегирана статистика са детаљима о врстама и количинама акредитива
- Системске метрике као што су време рада апликације и оперативни статус
Тренутно посматрана верзија, NEXUS Listener V3, указује на континуирани развој и усавршавање, сугеришући зрео и еволуирајући скуп алата.
Откривање тајни велике вредности: Опасна меморија података
У неким случајевима, погрешно конфигурисани или неаутентификовани NEXUS Listener панели открили су широк спектар осетљивих акредитива. То укључује API кључеве повезане са финансијским услугама попут Stripe-а, платформама вештачке интелигенције као што су OpenAI, Anthropic и NVIDIA NIM, као и комуникационим услугама укључујући SendGrid и Brevo.
Додатна изложена средства укључују токене Телеграм ботова, тајне вебхука, токене ГитХаба и ГитЛаба и низове за повезивање са базом података. Овакав обим угрожених података значајно повећава потенцијал за низводне нападе.
Стратешки утицај: Мапирање целокупних инфраструктурних екосистема
Поред појединачних акредитива, агрегирани подаци пружају детаљан план окружења жртава. Нападачи добијају увид у распоређене услуге, обрасце конфигурације, коришћене добављаче услуга у облаку и интеграције трећих страна.
Такви обавештајни подаци омогућавају високо циљане накнадне операције, укључујући латерално кретање, ескалацију привилегија, кампање социјалног инжењеринга или препродају приступа другим актерима претње.
Одбрамбени императиви: ублажавање ризика и ограничавање изложености
Обим и дубина ове кампање наглашавају неопходност проактивних безбедносних мера. Организације морају дати приоритет ригорозној ревизији окружења и пракси управљања акредитивима како би смањиле изложеност.
Препоручене акције укључују:
- Спровођење принципа најмањих привилегија у свим системима и услугама
Дисциплинован приступ контроли приступа и континуираном праћењу је неопходан за одбрану од све аутоматизованијих и великих операција прикупљања акредитива.
