HackerNews 编译,转载请注明出处:
一场大规模凭证收集行动被观察到利用React2Shell漏洞作为初始感染媒介,大规模窃取数据库凭证、SSH私钥、亚马逊云服务(AWS)密钥、shell命令历史、Stripe API密钥及GitHub令牌。
Cisco Talos将该行动归因于其追踪的威胁集群UAT-10608。活动已入侵至少766台主机,横跨多个地理区域和云服务提供商。
安全研究员Asheer Malhotra和Brandon White在报告发布前与The Hacker News分享称:”入侵后,UAT-10608利用自动化脚本从各类应用提取并外泄凭证,随后发布至其命令控制(C2)服务器。C2托管名为’NEXUS Listener’的Web图形界面,可用于查看窃取信息,并通过预编译统计获取凭证收集和主机入侵的分析洞察。”
该行动评估针对易受CVE-2025-55182(CVSS评分10.0)攻击的Next.js应用——这是React服务器组件和Next.js应用路由器的关键漏洞,可导致远程代码执行——获取初始访问权限,随后投放NEXUS Listener收集框架。
通过投放器部署多阶段收集脚本,从受感染系统收集各类详情:环境变量、JS运行时JSON解析环境、SSH私钥和authorized_keys、shell命令历史、Kubernetes服务账户令牌、Docker容器配置(运行容器、镜像、暴露端口、网络配置、挂载点和环境变量)、API密钥、通过查询AWS、谷歌云和微软Azure实例元数据服务获取的IAM角色关联临时凭证,以及运行进程。
该网络安全公司表示,受害者范围广泛且不加选择的攻击模式与自动化扫描一致,可能利用Shodan、Censys或定制扫描器等服务,识别公开可访问的Next.js部署并探测漏洞。
该框架核心为受密码保护的Web应用,通过图形界面向运营者提供所有窃取数据,具备搜索功能以筛选信息。
Talos称:”应用包含多项统计列表,包括入侵主机数量及从主机成功提取的各类凭证总数。Web应用允许用户浏览所有被入侵主机,还列出应用自身运行时间。”
NEXUS Listener当前版本为V3,表明该工具在达到当前阶段前经历了大量开发迭代。
Talos从某未认证NEXUS Listener实例获取的数据包含Stripe、人工智能平台(OpenAI、Anthropic和NVIDIA NIM)、通信服务(SendGrid和Brevo)的API密钥,以及Telegram机器人令牌、webhook密钥、GitHub和GitLab令牌、数据库连接字符串及其他应用密钥。
广泛的数据收集行动凸显不法分子如何将入侵主机的访问权限武器化以发动后续攻击。建议组织审计环境以强制执行最小权限原则,启用密钥扫描,避免重复使用SSH密钥对,在所有AWS EC2实例上强制实施IMDSv2,如怀疑遭入侵则轮换凭证。
研究人员表示:”除单个凭证的直接运营价值外,聚合数据集代表了受害者组织基础设施的详细图谱:运行哪些服务、如何配置、使用哪些云提供商、有哪些第三方集成。该情报对策划定向后续攻击、社交工程活动或向其他威胁行为体出售访问权限具有重要价值。”
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文