SOC Prime Bias: Критичний

08 Apr 2026 18:14
newspaper icon Блог Cisco Talos

UAT-10608 Викрито: Масштабна автоматизована крадіжка облікових даних проти веб-застосунків

Author Photo
Ruslan Mikhalov Керівник досліджень загроз у SOC Prime linkedin icon Стежити
UAT-10608 Викрито: Масштабна автоматизована крадіжка облікових даних проти веб-застосунків
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Cisco Talos повідомляє про масштабну операцію, яка використовує вразливість React2Shell в додатках Next.js для масового викрадення облікових даних. Зловмисники застосовують спеціально створену платформу під назвою NEXUS Listener для вилучення цінних секретів з компрометованих хостів, включаючи змінні оточення, ключі SSH, токени хмари та Kubernetes, і облікові дані API. Talos виявив понад 766 уражених систем у різних регіонах і провайдерів хмарних обчислень. Вкрадені дані відсилаються через HTTP бек-коли до централізованого C2-вузла.

Розслідування

Talos проаналізував навантаження, доставлене через CVE-2025-55182, яке скидає випадковим чином названий shell-скрипт у /tmp і виконує його з використанням nohup для подібності безперервності. Скрипт запускає колекційні модулі, що охоплюють секрети оточення, матеріали SSH, метадані хмари, токени Kubernetes, деталі Docker та історію команд. Результати відсилаються назад до сервісу NEXUS Listener через порт 8080. Розслідувачі переглянули веб-інтерфейс NEXUS Listener, бекенд зберігання даних та відповідну телеметрію мережі, щоб перевірити типи облікових даних і масштаб збору.

Смягчення

Виправити уражені розгортання Next.js, щоб усунути вразливість React2Shell. Примусово застосуйте IMDSv2 на метаданих хмари, негайно оновіть будь-які потенційно відкриті секрети та розділіть використання ключів SSH за оточенням і роллю. Додайте управління RASP або правила WAF, призначені для уловлювання спроб ін’єкцій у стилі SSR. Хмарні команди повинні включити сканування секретів, мінімізувати дозволи на ролі інстансів і переглянути конфігурацію сервера для запобігання випадковому розголошенню конфіденційних змінних оточення. deployments to remediate React2Shell exposure. Enforce IMDSv2 on cloud metadata endpoints, rotate any potentially exposed secrets immediately, and separate SSH key usage by environment and role. Add RASP controls or WAF rules designed to catch SSR-style injection attempts. Cloud teams should enable secret scanning, minimize instance role permissions, and review server-side configuration to prevent accidental exposure of sensitive environment variables.

Відповідь

Попереджайте про несподівані скрипти, породжені nohup, які виконуються з /tmp, особливо про файли з точковим префіксом або випадково названі файли, та відстежуйте вихідний HTTP трафік до невідомих кінцевих точок на порту 8080. Блокуйте URL-вимоги ексфільтрації, що відповідають відомим шаблонам зворотного виклику NEXUS Listener. Ізолюйте уражені хости, відкликайте скомпрометовані ключі/токени і проводьте судово-медичний огляд, щоб зрозуміти, які дані були зібрані та де вони були використані. Розгорніть IDS виявлення для експлуатації React2Shell і посильте доступ за мінімальними привілеями до метаданих і сховищ секретів.

"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#99ccff classDef malware fill:#ccffcc %% Node definitions tech_initial_access["<b>Техніка</b> – <b>T1189 Driveu2011by Compromise</b><br/><b>Опис</b>: Нападник отримує початковий доступ, експлуатуючи вразливість на сайті, що відкрито для публічних звернень, і запускаючи код на системі жертви."] class tech_initial_access technique tool_react2shell["<b>Інструмент</b> – <b>Назва</b>: React2Shell (CVEu20112025u201155182)<br/><b>Опис</b>: Вразливість віддаленого виконання коду до аутентифікації в додатках Next.js."] class tool_react2shell tool tech_exploit_client["<b>Техніка</b> – <b>T1203 Використання вразливостей клієнта для виконання</b><br/><b>Опис</b>: Використання вразливостей програмного забезпечення для виконання коду на цільовій системі."] class tech_exploit_client technique tech_script_proxy["<b>Техніка</b> – <b>T1216 Виконання системних скриптів-проксі</b><br/><b>Опис</b>: Використовує системні скрипти для проксі-виконання зловмисного коду."] class tech_script_proxy technique malware_loader["<b>Зловмисне ПЗ</b> – <b>Назва</b>: Завантажувальний скрипт<br/><b>Опис</b>: Малий shell-скрипт, розміщений у /tmp з випадковою назвою та запущений за допомогою nohup."] class malware_loader malware tech_hide_artifacts["<b>Техніка</b> – <b>T1564.011 Сховати артефакти: Ігнорувати переривання процесів</b><br/><b>Опис</b>: Запускає зловмисні процеси у фоновому режимі, щоб уникнути виявлення."] class tech_hide_artifacts technique tech_network_logon["<b>Техніка</b> – <b>T1037.003 Скрипт входу в мережу</b><br/><b>Опис</b>: Налаштовує скрипт входу, який запускається при кожному вході користувача в мережу."] class tech_network_logon technique tech_private_keys["<b>Техніка</b> – <b>T1552.004 Приватні ключі</b><br/><b>Опис</b>: Шукає та вилучає приватні ключі SSH з файлової системи."] class tech_private_keys technique tech_credentials_files["<b>Техніка</b> – <b>T1552.001 Облікові дані у файлах</b><br/><b>Опис</b>: Збирає облікові дані, що зберігаються у файлах, таких як .env, authorized_keys, конфігурації Docker тощо."] class tech_credentials_files technique tech_cloud_metadata["<b>Техніка</b> – <b>T1552.005 API метаданих хмарних інстанцій</b><br/><b>Опис</b>: Запити до сервісів метаданих постачальника хмар для отримання тимчасових IAM облікових даних."] class tech_cloud_metadata technique tech_container_api["<b>Техніка</b> – <b>T1552.007 API контейнера</b><br/><b>Опис</b>: Доступ до токенів обліконня Kubernetes із файлової системи пула."] class tech_container_api technique tech_remote_staging["<b>Техніка</b> – <b>T1074.002 Віддалене попереднє збереження даних</b><br/><b>Опис</b>: Попередньо зберігає зібрані дані локально перед ексфільтрацією."] class tech_remote_staging technique tech_automated_exfil["<b>Техніка</b> – <b>T1020 Автоматизована ексфільтрація</b><br/><b>Опис</b>: Автоматизує ексфільтрацію даних через скриптовані процеси."] class tech_automated_exfil technique tech_web_service["<b>Техніка</b> – <b>T1102 Веб-сервіс</b><br/><b>Опис</b>: Використовує законні веб-сервіси для командної і контрольної комунікації."] class tech_web_service technique tech_dead_drop["<b>Техніка</b> – <b>T1102.001 Метода пересилання</b><br/><b>Опис</b>: Зберігає ексфільтровані дані у веб-сервісі, діючому як місце тимчасового збереження."] class tech_dead_drop technique tech_ssh["<b>Техніка</b> – <b>T1021.004 SSH</b><br/><b>Опис</b>: Використовує SSH для переміщення по віддалених сервісах."] class tech_ssh technique tech_ssh_hijack["<b>Техніка</b> – <b>T1563.001 Перехоплення SSH</b><br/><b>Опис</b>: Повторне використання зібраних приватних ключів для перехоплення існуючих сесій SSH."] class tech_ssh_hijack technique tool_nexus["<b>Інструмент</b> – <b>Назва</b>: NEXUS Listener<br/><b>Опис</b>: Веб-інтерфейс, що отримує зібрані дані і відображає їх операторам."] class tool_nexus tool %% Connections tech_initial_access –>|використовує| tool_react2shell tool_react2shell –>|запускає| tech_exploit_client tech_exploit_client –>|включає| tech_script_proxy tech_script_proxy –>|запускає| malware_loader malware_loader –>|застосовує| tech_hide_artifacts malware_loader –>|настроює| tech_network_logon malware_loader –>|збирає| tech_private_keys malware_loader –>|збирає| tech_credentials_files malware_loader –>|запитує| tech_cloud_metadata malware_loader –>|доступає| tech_container_api malware_loader –>|зберігає| tech_remote_staging tech_remote_staging –>|ексфільтрує через| tech_automated_exfil tech_automated_exfil –>|використовує| tech_web_service tech_automated_exfil –>|використовує| tech_dead_drop tech_web_service –>|надає C2| tool_nexus tool_nexus –>|включає| tech_ssh tech_ssh –>|підсилений| tech_ssh_hijack tech_ssh_hijack –>|повторно використовує| tech_private_keys "

Потік атаки

Виконання симуляції

Попередні умови: Телеметрія та перевірка базових даних повинні бути пройдені.

Підстава: Цей розділ детально описує точне виконання техніки супротивника (TTP), яка призначена для запуску правила виявлення. Команди та оповідь ПОВИННІ безпосередньо відображати ідентифіковані TTP та націлені на генерацію точної телеметрії, очікуваної за логікою виявлення.

  • Оповідь та команди атак:
    Зловмисник отримав копію сценарію збору облікових даних (.eba9ee1e4.sh), який намагається читати /etc/passwd, шукати ключі SSH та виконувати спроби брутфорс-авторизації в цільовому веб-додатку. Щоб зберегти роботу скрипту після завершення сесії SSH і уникнути інтерактивного моніторингу, зловмисник закачує скрипт до /tmp/.eba9ee1e4.sh та запускає його за допомогою nohup sh. Оскільки правило виявлення шукає буквальну командну строку nohup sh /tmp/.eba9ee1e4.sh, це точне виконання згенерує очікувану телеметрію.

  • Сценарій регресійного тестування:

    #!/bin/bash
# -------------------------------------------------------------
# Регресійний скрипт для активації правила Sigma:
#   виявлення `nohup sh /tmp/.eba9ee1e4.sh`
# -------------------------------------------------------------

# 1. Перенесення скрипта, що виглядає зловмисно (безпечний вміст для тестування)
cat <<'EOF' > /tmp/.eba9ee1e4.sh
#!/bin/bash
echo "Імітація збору облікових даних – жодної реальної активності"
EOF
chmod +x /tmp/.eba9ee1e4.sh

# 2. Виконання скрипту з nohup у фоновому режимі (точна командна строка)
nohup sh /tmp/.eba9ee1e4.sh >/dev/null 2>&1 &

echo "Симуляція запущена – перевірте SIEM для виявлення."

  • Команди очищення:

    # Завершення всіх залишкових фонових екземплярів тестового скрипту
pkill -f "/tmp/.eba9ee1e4.sh" || true

# Видалення тестового скрипту
rm -f /tmp/.eba9ee1e4.sh

echo "Очистка завершена."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно