⚡ Não perca: notÃcia importante no ar! ⚡
A notÃcia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Foi observada uma operação de coleta de credenciais em grande escala, explorando a vulnerabilidade React2Shell como um vetor de infecção inicial para roubar credenciais de banco de dados, chaves privadas SSH, segredos da Amazon Web Services (AWS), histórico de comandos shell, chaves de API Stripe e tokens GitHub em escala.
O Cisco Talos atribuiu a operação a um cluster de ameaças que rastreia como UAT-10608. Pelo menos 766 hosts abrangendo diversas regiões geográficas e provedores de nuvem foram comprometidos como parte da atividade.
"Pós-comprometimento, o UAT-10608 aproveita scripts automatizados para extrair e exfiltrar credenciais de uma variedade de aplicativos, que são então postados em seu comando e controle (C2)", disseram os pesquisadores de segurança Asheer Malhotra e Brandon White em um relatório compartilhado com o The Hacker News antes da publicação.
"O C2 hospeda uma interface gráfica de usuário (GUI) baseada na Web intitulada 'NEXUS Listener' que pode ser usada para visualizar informações roubadas e obter insights analÃticos usando estatÃsticas pré-compiladas sobre credenciais coletadas e hosts comprometidos."
A campanha foi avaliada como direcionada a aplicativos Next.js que são vulneráveis ao CVE-2025-55182 (pontuação CVSS: 10,0), uma falha crÃtica nos componentes do React Server e no Next.js App Router que pode resultar na execução remota de código, para acesso inicial e, em seguida, descartando a estrutura de coleta do NEXUS Listener.
Isso é realizado por meio de um conta-gotas que implanta um script de coleta multifásico que coleta vários detalhes do sistema comprometido -
Variáveis de ambiente
Ambiente analisado por JSON do tempo de execução JS
Chaves privadas SSH e chaves_autorizadas
Histórico de comandos do Shell
Tokens de conta de serviço do Kubernetes
Configurações de contêiner Docker (contêineres em execução, suas imagens, portas expostas, configurações de rede, pontos de montagem e variáveis de ambiente)
Chaves de API
Credenciais temporárias associadas à função do IAM consultando o serviço de metadados de instância para AWS, Google Cloud e Microsoft Azure
Executando processos
A empresa de segurança cibernética disse que a amplitude do conjunto de vÃtimas e o padrão de segmentação indiscriminado se alinham com a verificação automatizada, provavelmente aproveitando serviços como Shodan, Censys ou scanners personalizados, para identificar implantações Next.js publicamente acessÃveis e investigá-las quanto à vulnerabilidade.
No centro da estrutura está um aplicativo da web protegido por senha que disponibiliza ao operador todos os dados roubados por meio de uma interface gráfica de usuário que possui recursos de pesquisa para filtrar as informações.
"O aplicativo contém uma lista de diversas estatÃsticas, incluindo o número de hosts comprometidos e o número total de cada tipo de credencial que foram extraÃdos com sucesso desses hosts", disse Talos. "O aplicativo da Web permite que um usuário navegue por todos os hosts comprometidos. Ele também lista o tempo de atividade do próprio aplicativo."
A versão atual do NEXUS Listener é a V3, indicando que a ferramenta passou por iterações substanciais de desenvolvimento antes de chegar ao estágio atual.
Talos, que conseguiu obter dados de uma instância não autenticada do NEXUS Listener, disse que continha chaves de API associadas ao Stripe, plataformas de inteligência artificial (OpenAI, Anthropic e NVIDIA NIM), serviços de comunicação (SendGrid e Brevo), juntamente com tokens de bot do Telegram, segredos de webhook, tokens GitHub e GitLab, strings de conexão de banco de dados e outros segredos de aplicativos.
A extensa operação de coleta de dados destaca como os malfeitores poderiam transformar o acesso a hosts comprometidos em armas para realizar ataques subsequentes. As organizações são aconselhadas a auditar seus ambientes para aplicar o princÃpio do menor privilégio, ativar a verificação secreta, evitar a reutilização de pares de chaves SSH, implementar a aplicação do IMDSv2 em todas as instâncias do AWS EC2 e alternar credenciais se houver suspeita de comprometimento.
"Além do valor operacional imediato das credenciais individuais, o conjunto de dados agregado representa um mapa detalhado da infraestrutura das organizações vÃtimas: quais serviços elas executam, como estão configurados, quais provedores de nuvem usam e quais integrações de terceiros estão em vigor", disseram os pesquisadores.
"Essa inteligência tem um valor significativo para criar ataques subsequentes direcionados, campanhas de engenharia social ou vender acesso a outros atores de ameaças."
O Cisco Talos atribuiu a operação a um cluster de ameaças que rastreia como UAT-10608. Pelo menos 766 hosts abrangendo diversas regiões geográficas e provedores de nuvem foram comprometidos como parte da atividade.
"Pós-comprometimento, o UAT-10608 aproveita scripts automatizados para extrair e exfiltrar credenciais de uma variedade de aplicativos, que são então postados em seu comando e controle (C2)", disseram os pesquisadores de segurança Asheer Malhotra e Brandon White em um relatório compartilhado com o The Hacker News antes da publicação.
"O C2 hospeda uma interface gráfica de usuário (GUI) baseada na Web intitulada 'NEXUS Listener' que pode ser usada para visualizar informações roubadas e obter insights analÃticos usando estatÃsticas pré-compiladas sobre credenciais coletadas e hosts comprometidos."
A campanha foi avaliada como direcionada a aplicativos Next.js que são vulneráveis ao CVE-2025-55182 (pontuação CVSS: 10,0), uma falha crÃtica nos componentes do React Server e no Next.js App Router que pode resultar na execução remota de código, para acesso inicial e, em seguida, descartando a estrutura de coleta do NEXUS Listener.
Isso é realizado por meio de um conta-gotas que implanta um script de coleta multifásico que coleta vários detalhes do sistema comprometido -
Variáveis de ambiente
Ambiente analisado por JSON do tempo de execução JS
Chaves privadas SSH e chaves_autorizadas
Histórico de comandos do Shell
Tokens de conta de serviço do Kubernetes
Configurações de contêiner Docker (contêineres em execução, suas imagens, portas expostas, configurações de rede, pontos de montagem e variáveis de ambiente)
Chaves de API
Credenciais temporárias associadas à função do IAM consultando o serviço de metadados de instância para AWS, Google Cloud e Microsoft Azure
Executando processos
A empresa de segurança cibernética disse que a amplitude do conjunto de vÃtimas e o padrão de segmentação indiscriminado se alinham com a verificação automatizada, provavelmente aproveitando serviços como Shodan, Censys ou scanners personalizados, para identificar implantações Next.js publicamente acessÃveis e investigá-las quanto à vulnerabilidade.
No centro da estrutura está um aplicativo da web protegido por senha que disponibiliza ao operador todos os dados roubados por meio de uma interface gráfica de usuário que possui recursos de pesquisa para filtrar as informações.
"O aplicativo contém uma lista de diversas estatÃsticas, incluindo o número de hosts comprometidos e o número total de cada tipo de credencial que foram extraÃdos com sucesso desses hosts", disse Talos. "O aplicativo da Web permite que um usuário navegue por todos os hosts comprometidos. Ele também lista o tempo de atividade do próprio aplicativo."
A versão atual do NEXUS Listener é a V3, indicando que a ferramenta passou por iterações substanciais de desenvolvimento antes de chegar ao estágio atual.
Talos, que conseguiu obter dados de uma instância não autenticada do NEXUS Listener, disse que continha chaves de API associadas ao Stripe, plataformas de inteligência artificial (OpenAI, Anthropic e NVIDIA NIM), serviços de comunicação (SendGrid e Brevo), juntamente com tokens de bot do Telegram, segredos de webhook, tokens GitHub e GitLab, strings de conexão de banco de dados e outros segredos de aplicativos.
A extensa operação de coleta de dados destaca como os malfeitores poderiam transformar o acesso a hosts comprometidos em armas para realizar ataques subsequentes. As organizações são aconselhadas a auditar seus ambientes para aplicar o princÃpio do menor privilégio, ativar a verificação secreta, evitar a reutilização de pares de chaves SSH, implementar a aplicação do IMDSv2 em todas as instâncias do AWS EC2 e alternar credenciais se houver suspeita de comprometimento.
"Além do valor operacional imediato das credenciais individuais, o conjunto de dados agregado representa um mapa detalhado da infraestrutura das organizações vÃtimas: quais serviços elas executam, como estão configurados, quais provedores de nuvem usam e quais integrações de terceiros estão em vigor", disseram os pesquisadores.
"Essa inteligência tem um valor significativo para criar ataques subsequentes direcionados, campanhas de engenharia social ou vender acesso a outros atores de ameaças."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #hackers #exploram #cve202555182 #para #violar #766 #hosts #next.js #e #roubar #credenciais
🎉 Obrigado por acompanhar, até a próxima notÃcia!
Postar um comentário