サイバーセキュリティの専門家は、数時間以内に世界中の数百台のサーバーを攻撃した、大規模で自動化された認証情報収集キャンペーンを記録しました。この攻撃は最小限の人的介入で展開され、ユビキタスなウェブアプリケーション内の脆弱性を悪用して、それらを機密情報の源に変えました。
Cisco Talosの先頭部隊は、UAT-10608と指定されたグループの動きを暴露しました。これらの敵対者はNext.jsに基づくアプリケーションをターゲットにし、React2Shellの脆弱性(CVE-2025-55182)を武器化しています。これはサーバー上の不正なリモートコード実行を容易にします。このブリーチを通じて、自動スクリプトのシーケンスが点火されてテレメトリーを収集し、それをコマンド・アンド・コントロール・ネクサスに流出させます。
ドキュメントによると、少なくとも766ノードが侵害されました。ほとんどの場合、略奪者はデータベース接続文字列、SSHキー、およびクラウド認証情報を抽出しました。被害を受けたシステムの約4分の1は、GitHubトークンおよび補助的なサービスと共にAmazon Web Servicesリソースの侵害を受けました。
攻撃的インフラの中核には、NEXUSリスナーがあります。これは、略奪されたデータが集約されるグラフィカルインターフェースを備えたウェブアプリケーションです。このダッシュボードは、攻撃者に統計を監視し、インテリジェンスをフィルタリングし、侵害されたホストを精査する力を与えます。特定のイベントでは、そのようなパネルの暴露は、操作の内部アーキテクチャの詳細な研究を促進しました。
攻撃シーケンスは個別の段階で構成されています。最初のブリーチに続いて、プライマリスクリプトを呼び出すためにコンパクトローダーがサーバー上に導入されます。このエンティティは体系的に環境変数、アクセスキー、コマンド履歴、コンテナテレメトリー、およびKubernetesトークンを収集します。各フェーズの後、インテリジェンスは管理サーバーに送信されます。
取得されたテレメトリーは、後続の侵入に対して広大な機会をもたらします。盗まれた支払いシステムキーは不正な金融取引を容易にします。クラウド認証情報はインフラストラクチャの調整を許可し、SSHキーはネットワーク内のラテラルムーブメントを可能にします。パッケージレジストリへのアクセスには秘匿された危険が存在し、サプライチェーン転覆の重大な脅威を引き起こします。
分析は、敵対者がさらされたサービスとその設定に焦点を当てた自動化されたインターネット偵察を使用する可能性が高いことを示しています。このようなパラダイムにより、脆弱なシステムの迅速な特定と、手動労力なしに攻撃をスケーリングすることができます。
専門家はすでに被害を受けた当事者に警告し、プロバイダーと協力して侵害されたデータを隔離しています。組織は緊急に、システムをリジュベネートし、アクセスキーをローテーションし、クラウドおよびコンテナ化インフラストラクチャの設定を厳密に監査するよう強く勧告されています。
翻訳元: https://meterpreter.org/uat-10608-collective-hijacked-700-next-js-servers-in-hours/
