要点
盗まれた情報はハッカーがフォローアップ攻撃を計画し、より多くの組織に侵害するのを支援する可能性があるとCisco研究者は述べた。
サイバー脅威アクターがReact2Shell脆弱性を使用して広範な認証情報収集キャンペーンの基礎として利用しており、AIツールAPIキーからクラウドプラットフォームパスワードまでのすべてが侵害されています。
React2Shellに脆弱なインターネット向きのReact Server Componentsインスタンスを特定した後、ハッカーは認証を必要とせずに悪意のあるペイロードをサーバーにアップロードし、ターゲットサーバーで任意のコードを実行できるようにします。Ciscoの脅威インテリジェンスグループであるTalosの研究者は最近のレポートでそう述べています。
ペイロードには「認証情報、SSHキー、クラウドトークン、環境シークレットを大規模に収集する多段階認証情報収集ツール」が含まれていると、Cisco研究者は述べた。
ターゲット特定後のプロセス全体は自動化されています。「システムから収集された認証情報を抽出して流出させるために、さらなる手動操作は不要です」とCiscoは述べた。
レポートによると、キャンペーンは複数の地域で少なくとも766台のサーバーを侵害しています。この活動は無差別であり、ハッカーは特定の国や業界に焦点を当てていないとCiscoは述べた。
Ciscoはキャンペーンの責任者である脅威アクターをUAT-10608として追跡していますが、グループに関する情報は提供していません。
機密データの宝庫
認証情報収集ソフトウェアがデータを収集した後、それはハッカーが管理するサーバーに送信されます。このサーバーはNEXUS Listenerというウェブアプリケーションを実行しており、盗まれたデータのユーザーフレンドリーな閲覧を可能にします。Ciscoはパスワードなしで保存されたNEXUS Listenerサーバー上のデータを分析し、それを膨大で非常に機密性の高いものと説明しました。
侵害されたデータには、OpenAI、Anthropic、およびその他のAIプラットフォームのAPIキー、Stripe支払い処理プラットフォームのシークレットキー、Amazon Web Servicesアクセスキー、Microsoft Azureサブスクリプション認証情報、およびGitHubアクセストークンが含まれていました。また、AWSインスタンスの一時的で強力な可能性のあるログイン認証情報、Dockerインスタンスに関するメタデータ、およびKubernetesトークンも存在していたとCiscoは述べた。
ハッカーはSSHプライベートキーも収集しました。これらはキーを信頼するサーバー上での横展開を可能にしたり、被害者マシンのコマンドプロンプト活動の読み出しにアクセスしたりすることができ、これはハッカーにフォローアップの偵察、盗難、または破壊活動のための貴重な情報を提供する可能性があります。
翻訳元: https://www.cybersecuritydive.com/news/credential-harvesting-campaign-react2shell-cisco/816726/
