Хакери запустили масштабну автоматизовану кампанію з крадіжки облікових даних, використовуючи критичну вразливість React2Shell у застосунках на Next.js. Під удар уже потрапили сотні серверів по всьому світу, а атаки продовжуються прямо зараз.
За короткий час їм вдалося скомпрометувати щонайменше 766 серверів у різних країнах і хмарних середовищах. Основна мета проста і небезпечна одночасно – витягнути максимум секретів: від доступів до баз даних і AWS до SSH-ключів, API-ключів і змінних середовища.
Для цього використовується фреймворк під назвою NEXUS Listener разом із автоматизованими скриптами, які буквально “вигрібають” конфіденційні дані з систем. Cisco Talos пов’язує цю активність із кластером загроз UAT-10608. Дослідникам навіть вдалося отримати доступ до відкритого екземпляра NEXUS Listener, що дало змогу детально розібратись, як саме працює ця схема і які дані збираються.
Сама атака виглядає досить прямолінійно. Спочатку автоматично скануються вразливі Next.js-додатки, після чого на сервер закидається скрипт, який запускає багатокроковий процес збору даних. Зазвичай він розміщується у стандартному тимчасовому каталозі і працює майже непомітно.
Серед того, що витягують зловмисники:
змінні середовища та секрети (API-ключі, доступи до баз, токени GitHub/GitLab)
приватні SSH-ключі
облікові дані хмар (AWS, GCP, Azure, IAM)
токени Kubernetes
дані Docker і контейнерів
історія виконаних команд
інформація про процеси та середовище виконання
Усі ці дані передаються частинами через HTTP-запити на сервер керування (C2), де працює NEXUS Listener. Там зловмисник отримує зручну панель з пошуком, фільтрами і навіть статистикою по зібраних даних.
Як зазначають у Cisco Talos, сама панель показує кількість скомпрометованих хостів і обсяг викрадених даних по кожному типу.
«Автоматизована система змогла скомпрометувати 766 хостів лише за 24 години», – підкреслюють дослідники.
Наслідки такої атаки можуть бути дуже серйозними. Викрадені доступи дозволяють отримати контроль над хмарними акаунтами, базами даних, платіжними системами та іншими сервісами. Окремо небезпечні SSH-ключі – через них легко рухатись далі по інфраструктурі.
Крім технічних ризиків, є і юридичні. Якщо серед викрадених даних є персональна інформація, компанія може отримати проблеми з регуляторами через порушення правил конфіденційності.
Щоб зменшити ризики, дослідники радять діяти максимально швидко:
встановити всі оновлення безпеки, що закривають React2Shell
перевірити сервери на можливі витоки
змінити всі облікові дані при найменшій підозрі
увімкнути AWS IMDSv2
замінити повторно використані SSH-ключі
підключити сканування секретів
використовувати WAF або RASP для Next.js
обмежити права доступу для контейнерів і хмарних ролей
