แฮ็กเกอร์ใช้ช่องโหว่ React2Shell ในแคมเปญขโมยข้อมูล credential แบบอัตโนมัติ

กลุ่มแฮ็กเกอร์กำลังดำเนินการโจมตีครั้งใหญ่เพื่อขโมยข้อมูล credential ด้วยวิธีการอัตโนมัติ หลังจากประสบความสำเร็จในการใช้ช่องโหว่ React2Shell (CVE-2025-55182) ในแอปพลิเคชัน Next.js ที่ยังมีช่องโหว่

พบโฮสต์อย่างน้อย 766 แห่งในผู้ให้บริการคลาวด์ และภูมิภาคต่าง ๆ ถูกโจมตีเพื่อรวบรวมข้อมูลสำคัญ เช่น Database credentials และ AWS, SSH Private Keys, API Keys, Cloud Tokens และ environment secrets

ปฏิบัติการนี้ใช้ Framework ที่ชื่อว่า NEXUS Listener และใช้สคริปต์อัตโนมัติในการดึงข้อมูล และส่งข้อมูลที่สำคัญออกจากแอปพลิเคชันต่าง ๆ

Cisco Talos ระบุว่า กิจกรรมดังกล่าวเป็นฝีมือของกลุ่มภัยคุกคามที่ถูกติดตามในชื่อ UAT-10608 โดยเหล่านักวิจัยสามารถเข้าถึงอินสแตนซ์ของ NEXUS Listener ที่ถูกเปิดเผยสู่สาธารณะได้ ซึ่งช่วยให้พวกเขาสามารถวิเคราะห์ประเภทของข้อมูลที่ถูกจัดเก็บจากระบบที่ถูกบุกรุก และทำความเข้าใจวิธีการทำงานของเว็บแอปพลิเคชันดังกล่าวได้

การเก็บรวบรวมข้อมูลแบบอัตโนมัติ
การโจมตีเริ่มต้นด้วยการสแกนหาแอปพลิเคชัน Next.js ที่มีช่องโหว่แบบอัตโนมัติ ซึ่งจะถูกโจมตีผ่านช่องโหว่ React2Shell จากนั้นสคริปต์ที่รันกระบวนการเก็บรวบรวมข้อมูล credential แบบหลายขั้นตอนจะถูกนำไปวางไว้ใน Standard Temporary Directory

ตามรายงานจากนักวิจัยของ Cisco Talos ข้อมูลที่ถูกขโมยด้วยวิธีนี้ประกอบด้วย:

  • Environment variables และ secrets ต่าง ๆ (API keys, Database credentials, GitHub/GitLab tokens)
  • SSH keys
  • Cloud credentials (AWS/ GCP/ Azure metadata, IAM credentials)
  • Kubernetes tokens
  • ข้อมูล Docker และ Container
  • Command history
  • ข้อมูล Process และ runtime data

ข้อมูลที่มีความสำคัญจะถูกส่งออกไปเป็นชุด ๆ โดยแต่ละชุดจะถูกส่งผ่าน HTTP request ทาง port 8080 ไปยัง Command-and-Control (C2 server) ที่ใช้งาน NEXUS Listener component หลังจากนั้นผู้โจมตีจะได้รับข้อมูลอย่างละเอียด พร้อมทั้งความสามารถในการค้นหา การกรองข้อมูล และข้อมูลเชิงสถิติ

Cisco Talos ระบุในรายงานประจำสัปดาห์นี้ว่า “ตัวแอปพลิเคชันมีการแสดงสถิติหลายอย่าง รวมถึงจำนวนโฮสต์ที่ถูกโจมตี และจำนวนรวมของข้อมูล credentials แต่ละประเภทที่ถูกดึงออกมาจากโฮสต์เหล่านั้นได้สำเร็จ”

“นอกจากนี้ยังแสดงระยะเวลาการทำงานของแอปพลิเคชันด้วย ในกรณีนี้ เฟรมเวิร์กการโจมตี และการเก็บรวบรวมข้อมูลอัตโนมัติสามารถเจาะระบบโฮสต์ได้สำเร็จ 766 เครื่องภายในระยะเวลา 24 ชั่วโมง”

คำแนะนำด้านการป้องกัน

ข้อมูลที่ถูกขโมยไปทำให้ผู้โจมตีสามารถเข้ายึดบัญชีคลาวด์ ตลอดจนเข้าถึงฐานข้อมูล ระบบชำระเงิน และบริการอื่น ๆ ซึ่งเป็นการเปิดช่องทางไปสู่การโจมตีแบบ Supply chain นอกจากนี้ SSH keys ยังอาจถูกนำไปใช้เพื่อขยายผลการโจมตีไปยังส่วนอื่น ๆ ภายในเครือข่ายได้อีก

Cisco เน้นย้ำว่าข้อมูลที่ถูกเจาะออกไป ซึ่งรวมถึงข้อมูลที่ระบุตัวตนบุคคลได้ ยังทำให้เหยื่อมีความเสี่ยงที่จะได้รับผลกระทบทางกฎหมายจากการละเมิดกฎหมายคุ้มครองความเป็นส่วนตัว

นักวิจัยแนะนำให้ผู้ดูแลระบบติดตั้งการอัปเดตความปลอดภัยสำหรับ React2Shell ตรวจสอบการเปิดเผยข้อมูลฝั่งเซิร์ฟเวอร์ และเปลี่ยนข้อมูล credentials ทั้งหมดทันทีหากสงสัยว่ามีการโจมตี

นอกจากนี้ ยังแนะนำให้บังคับใช้ AWS IMDSv2 และเปลี่ยน SSH keys ที่มีการใช้งานซ้ำในหลายระบบ ผู้ดูแลระบบควรเปิดใช้งานระบบ Secret scanning ติดตั้งการป้องกันประเภท WAF/RASP สำหรับแอปพลิเคชัน Next.js และบังคับใช้สิทธิ์ขั้นต่ำสุดใน Container และ cloud roles เพื่อจำกัดผลกระทบ

 

ที่มา : bleepingcomputer