CVE-2025-55182
Було виявлено масштабну кампанію зі збору облікових даних, яка використовує вразливість React2Shell як основний вектор зараження. Ця операція спрямована на вразливі програми Next.js, зокрема, експлуатуючи CVE-2025-55182, критичну вразливість із оцінкою CVSS 10.0, яка впливає на компоненти React Server та маршрутизатор програм Next.js. Успішна експлуатація дозволяє дистанційне виконання коду, що дозволяє зловмисникам отримати початковий плацдарм у цільових системах.
Дослідники з безпеки пов'язують цю активність із кластером загроз, який відстежується як UAT-10608. Кампанія вже скомпрометувала щонайменше 766 хостів у кількох географічних регіонах та хмарних середовищах, демонструючи як масштаб, так і операційне охоплення.
Зміст
Автоматизоване вторгнення у великих масштабах: широке та невибіркове таргетування
Схема атаки відображає високоавтоматизовані методи розвідки та експлуатації. Вважається, що зловмисники покладаються на масштабні інструменти сканування, такі як Shodan, Censys, або спеціально розроблені сканери, щоб ідентифікувати публічно відкриті розгортання Next.js, вразливі до цієї вразливості.
Така стратегія невибіркового таргетування дозволяє швидко виявляти вразливі системи, значно збільшуючи рівень успішності та масштаби компрометації.
Багатоетапне розгортання корисного навантаження: від доступу до збору даних
Після початкової компрометації розгортається дроппер для встановлення багатофазної системи збору даних, відомої як NEXUS Listener. Ця система керує автоматизованими скриптами, призначеними для вилучення конфіденційних даних із заражених систем та їх передачі до централізованої інфраструктури командування та управління (C2).
Процес збору врожаю є масштабним і систематично передбачає збір:
- Змінні середовища та конфігурації середовища виконання, оброблені JSON
- Приватні ключі SSH та файли authorized_keys
- Історії команд оболонки та деталі запущених процесів
- Токени облікового запису служби Kubernetes та конфігурації контейнерів Docker
- Ключі API, облікові дані бази даних та секрети хмарних сервісів
- Тимчасові облікові дані IAM, отримані через хмарні служби метаданих (AWS, Google Cloud, Microsoft Azure)
Слухач NEXUS: Централізований інтелект та управління
В основі операції лежить NEXUS Listener, захищений паролем веб-додаток, розміщений на інфраструктурі C2 зловмисників. Цей інтерфейс надає операторам комплексну графічну панель інструментів для моніторингу та аналізу викрадених даних.
Ключові можливості платформи включають:
- Перегляд скомпрометованих хостів та зібраних облікових даних у режимі реального часу
- Функція пошуку для ефективної фільтрації та аналізу даних
- Зведена статистика з детальним описом типів та обсягів облікових даних
- Системні показники, такі як час безперебійної роботи програм та їх робочий стан
Поточна версія, NEXUS Listener V3, свідчить про постійний розвиток та вдосконалення, що свідчить про зрілий та розвиваючийся набір інструментів.
Викриття цінних секретів: небезпечний кеш даних
У деяких випадках неправильно налаштовані або неавтентифіковані панелі NEXUS Listener розкрили широкий спектр конфіденційних облікових даних. До них належать ключі API, пов'язані з фінансовими сервісами, такими як Stripe, платформами штучного інтелекту, такими як OpenAI, Anthropic та NVIDIA NIM, а також комунікаційними сервісами, включаючи SendGrid та Brevo.
Додаткові розкриті активи включають токени ботів Telegram, секрети вебхуків, токени GitHub та GitLab, а також рядки підключення до бази даних. Такий обсяг скомпрометованих даних значно посилює потенціал для атак нижче за течією.
Стратегічний вплив: Картування цілісних екосистем інфраструктури
Окрім індивідуальних облікових даних, агреговані дані надають детальний план середовища жертви. Зловмисники отримують уявлення про розгорнуті служби, шаблони конфігурації, використовуваних хмарних постачальників та інтеграції зі сторонніми розробниками.
Така розвідка дозволяє проводити цілеспрямовані подальші операції, включаючи горизонтальне переміщення, ескалацію привілеїв, кампанії соціальної інженерії або перепродаж доступу іншим зловмисникам.
Захисні імперативи: зменшення ризику та обмеження впливу
Масштаб та глибина цієї кампанії підкреслюють необхідність проактивних заходів безпеки. Організації повинні пріоритезувати суворий аудит середовища та практики управління обліковими даними, щоб зменшити ризики.
Рекомендовані дії включають:
- Забезпечення дотримання принципу найменших привілеїв у всіх системах та службах
Дисциплінований підхід до контролю доступу та постійного моніторингу є важливим для захисту від дедалі автоматизованіших та масштабних операцій зі збору облікових даних.
