### Ausnutzung von React2Shell führt zu massivem Diebstahl von Anmeldeinformationen Sicherheitsforscher von **Cisco Talos** haben eine bedeutende Operation zur Ernte von Anmeldeinformationen aufgedeckt, die die React2Shell-Schwachstelle ausnutzt. Diese Schwachstelle dient als anfänglicher Infektionsvektor und ermöglicht es Angreifern, im großen Stil Datenbankanmeldeinformationen, private SSH-Schlüssel, **Amazon Web Services (AWS)**-Secrets, Shell-Befehlshistorien, Stripe API-Schlüssel und **GitHub**-Token zu stehlen. ### UAT-10608: Der Bedrohungsakteur hinter der Kampagne **Cisco Talos** hat diese Kampagne einem Bedrohungscluster zugeordnet, den sie als **UAT-10608** verfolgen. Das Ausmaß der Operation ist beträchtlich, mit mindestens 766 kompromittierten Hosts in verschiedenen geografischen Regionen und Cloud-Anbietern. "Nach der Kompromittierung nutzt UAT-10608 automatisierte Skripte zur Extraktion und Exfiltration von Anmeldeinformationen aus einer Vielzahl von Anwendungen, die dann an seine Command-and-Control (C2)-Infrastruktur übermittelt werden", erklärten die Sicherheitsforscher Asheer Malhotra und Brandon White in ihrem Bericht. ### NEXUS Listener: Das C2-Framework Die Angreifer nutzen eine Command-and-Control (C2)-Infrastruktur, die eine webbasierte grafische Benutzeroberfläche (GUI) namens 'NEXUS Listener' beherbergt. Diese Schnittstelle ermöglicht es den Bedrohungsakteuren, gestohlene Informationen einzusehen und analytische Einblicke mithilfe von vorkompilierten Statistiken über geerntete Anmeldeinformationen und kompromittierte Hosts zu gewinnen. ### Ziel sind Next.js-Anwendungen Die Kampagne zielt hauptsächlich auf **Next.js**-Anwendungen ab, die anfällig für **CVE-2025-55182** sind, einen kritischen Fehler in React Server Components und dem **Next.js** App Router. Diese Schwachstelle mit einem CVSS-Score von 10.0 ermöglicht die Remote Code Execution (RCE), was die Bereitstellung des NEXUS Listener-Sammlungsframeworks erleichtert. Die Angriffskette beinhaltet einen Dropper, der ein mehrstufiges Harvesting-Skript bereitstellt, um sensible Informationen von kompromittierten Systemen zu sammeln, darunter: * Umgebungsvariablen * JSON-geparste Umgebung aus der JS-Laufzeit * SSH-private Schlüssel und authorized_keys * Shell-Befehlshistorie * Kubernetes-Dienstkontotoken * Docker-Container-Konfigurationen * API-Schlüssel * Temporäre Anmeldeinformationen, die mit IAM-Rollen von **AWS**, **Google Cloud** und **Microsoft Azure** verknüpft sind * Laufende Prozesse ### Automatisierte Scans und wahlloses Targeting Die Breite der Opfermenge deutet auf den Einsatz automatisierter Scantechniken hin, die potenziell Dienste wie **Shodan**, **Censys** oder benutzerdefinierte Scanner nutzen, um öffentlich erreichbare **Next.js**-Bereitstellungen zu identifizieren, die für eine Ausnutzung anfällig sind. ### Fähigkeiten des NEXUS Listeners Das Kernstück des Frameworks ist eine passwortgeschützte Webanwendung, die den Angreifern über eine GUI mit Suchfunktionen Zugriff auf die gestohlenen Daten ermöglicht. "Die Anwendung enthält eine Auflistung verschiedener Statistiken, darunter die Anzahl der kompromittierten Hosts und die Gesamtzahl jeder Anmeldeinformationenart, die erfolgreich von diesen Hosts extrahiert wurden", erklärte **Talos**. "Die Webanwendung ermöglicht es einem Benutzer, alle kompromittierten Hosts zu durchsuchen. Sie listet auch die Betriebszeit der Anwendung selbst auf." Die aktuelle Version von NEXUS Listener ist V3, was auf signifikante Entwicklungsiterationen hindeutet. ### Sensible Daten offengelegt **Talos**-Forscher entdeckten nach dem Zugriff auf eine nicht authentifizierte NEXUS Listener-Instanz API-Schlüssel, die mit **Stripe**, KI-Plattformen wie **OpenAI**, **Anthropic** und **NVIDIA NIM**, Kommunikationsdiensten wie **SendGrid** und **Brevo** sowie **Telegram**-Bot-Token, Webhook-Secrets, **GitHub**- und **GitLab**-Token, Datenbankverbindungszeichenfolgen und anderen Anwendungsgeheimnissen verbunden waren. ### Abhilfemaßnahmen und Empfehlungen Diese umfangreiche Datenerfassungsoperation unterstreicht das Potenzial von Angreifern, kompromittierte Hosts für nachfolgende Angriffe zu nutzen. Organisationen wird geraten: * Umgebungen zu überprüfen, um das Prinzip der geringsten Rechte durchzusetzen. * Geheimnisprüfung zu aktivieren. * Die Wiederverwendung von SSH-Schlüsselpaaren zu vermeiden. * Die Durchsetzung von IMDSv2 auf allen **AWS EC2**-Instanzen zu implementieren. * Anmeldeinformationen zu rotieren, wenn eine Kompromittierung vermutet wird. ### Das Gesamtbild "Über den unmittelbaren operativen Wert einzelner Anmeldeinformationen hinaus stellt der aggregierte Datensatz eine detaillierte Karte der Infrastruktur der Zielorganisationen dar: welche Dienste sie ausführen, wie sie konfiguriert sind, welche Cloud-Anbieter sie nutzen und welche Drittanbieter-Integrationen vorhanden sind", stellten die Forscher fest. Diese Informationen sind von unschätzbarem Wert für die Ausarbeitung gezielter nachfolgender Angriffe, Social-Engineering-Kampagnen oder den Verkauf von Zugriffen an andere Bedrohungsakteure.