CVE-2025-55182
มีการค้นพบแคมเปญการขโมยข้อมูลประจำตัวขนาดใหญ่ที่ใช้ช่องโหว่ React2Shell เป็นช่องทางหลักในการแพร่เชื้อ ปฏิบัติการนี้มุ่งเป้าไปที่แอปพลิเคชัน Next.js ที่มีช่องโหว่ โดยเฉพาะอย่างยิ่งการใช้ประโยชน์จาก CVE-2025-55182 ซึ่งเป็นช่องโหว่ร้ายแรงที่มีคะแนน CVSS 10.0 ที่ส่งผลกระทบต่อ React Server Components และ Next.js App Router การโจมตีที่สำเร็จจะทำให้สามารถเรียกใช้โค้ดจากระยะไกลได้ ทำให้ผู้โจมตีสามารถเข้าถึงระบบเป้าหมายได้ในเบื้องต้น
นักวิจัยด้านความปลอดภัยระบุว่ากิจกรรมนี้เป็นผลมาจากกลุ่มภัยคุกคามที่ติดตามได้ในรหัส UAT-10608 แคมเปญนี้ได้เจาะระบบโฮสต์อย่างน้อย 766 เครื่องในหลายภูมิภาคและสภาพแวดล้อมคลาวด์ แสดงให้เห็นถึงขนาดและความสามารถในการปฏิบัติการที่กว้างขวาง
สารบัญ
การบุกรุกอัตโนมัติในวงกว้าง: การกำหนดเป้าหมายที่กว้างและไม่เลือกปฏิบัติ
รูปแบบการโจมตีสะท้อนให้เห็นถึงเทคนิคการสอดแนมและการโจมตีแบบอัตโนมัติขั้นสูง เชื่อกันว่าผู้โจมตีอาศัยเครื่องมือสแกนขนาดใหญ่ เช่น Shodan, Censys หรือเครื่องมือสแกนที่สร้างขึ้นเองเพื่อระบุการใช้งาน Next.js ที่เปิดเผยต่อสาธารณะซึ่งมีความเสี่ยงต่อช่องโหว่นี้
กลยุทธ์การกำหนดเป้าหมายแบบไม่เลือกปฏิบัติเช่นนี้ ช่วยให้สามารถระบุระบบที่เปราะบางได้อย่างรวดเร็ว ส่งผลให้มีอัตราความสำเร็จและขอบเขตของการโจมตีเพิ่มขึ้นอย่างมาก
การส่งข้อมูลแบบหลายขั้นตอน: ตั้งแต่การเข้าถึงจนถึงการเก็บรวบรวม
หลังจากถูกโจมตีในขั้นต้น ระบบจะส่งโปรแกรมดักจับข้อมูล (dropper) เพื่อติดตั้งเฟรมเวิร์กการเก็บเกี่ยวข้อมูลแบบหลายขั้นตอนที่เรียกว่า NEXUS Listener เฟรมเวิร์กนี้จะควบคุมสคริปต์อัตโนมัติที่ออกแบบมาเพื่อดึงข้อมูลสำคัญจากระบบที่ติดไวรัสและส่งต่อไปยังโครงสร้างพื้นฐานการควบคุมและสั่งการส่วนกลาง (C2)
กระบวนการเก็บเกี่ยวมีความครอบคลุมและเก็บรวบรวมอย่างเป็นระบบ:
- ตัวแปรสภาพแวดล้อมและการกำหนดค่ารันไทม์ที่แยกวิเคราะห์ด้วย JSON
- คีย์ส่วนตัว SSH และไฟล์ authorized_keys
- ประวัติคำสั่งเชลล์และรายละเอียดกระบวนการที่กำลังทำงาน
- โทเค็นบัญชีบริการ Kubernetes และการกำหนดค่าคอนเทนเนอร์ Docker
- คีย์ API, ข้อมูลประจำตัวฐานข้อมูล และรหัสลับบริการคลาวด์
- ข้อมูลประจำตัว IAM ชั่วคราวที่ดึงมาผ่านบริการเมตาเดตาบนคลาวด์ (AWS, Google Cloud, Microsoft Azure)
NEXUS Listener: ระบบข่าวกรองและควบคุมส่วนกลาง
หัวใจสำคัญของการปฏิบัติการนี้คือ NEXUS Listener ซึ่งเป็นแอปพลิเคชันบนเว็บที่ได้รับการป้องกันด้วยรหัสผ่าน โดยติดตั้งอยู่บนโครงสร้างพื้นฐาน C2 ของผู้โจมตี อินเทอร์เฟซนี้มีแดชบอร์ดแบบกราฟิกที่ครอบคลุมสำหรับผู้ปฏิบัติงานในการตรวจสอบและวิเคราะห์ข้อมูลที่ถูกขโมยไป
ความสามารถหลักของแพลตฟอร์มประกอบด้วย:
- สามารถตรวจสอบสถานะของโฮสต์ที่ถูกบุกรุกและข้อมูลประจำตัวที่ถูกขโมยได้แบบเรียลไทม์
- ฟังก์ชันการค้นหาเพื่อการกรองและวิเคราะห์ข้อมูลอย่างมีประสิทธิภาพ
- สถิติโดยรวมที่แสดงรายละเอียดประเภทและปริมาณของข้อมูลประจำตัว
- ตัวชี้วัดระบบ เช่น เวลาการทำงานของแอปพลิเคชันและสถานะการดำเนินงาน
NEXUS Listener V3 เวอร์ชันที่ใช้งานอยู่ในปัจจุบัน แสดงให้เห็นถึงการพัฒนาและการปรับปรุงอย่างต่อเนื่อง ซึ่งบ่งชี้ว่าชุดเครื่องมือนี้มีความสมบูรณ์และพัฒนาไปเรื่อยๆ
การเปิดเผยความลับที่มีมูลค่าสูง: คลังข้อมูลอันตราย
ในบางกรณี แผงควบคุม NEXUS Listener ที่ตั้งค่าไม่ถูกต้องหรือไม่ได้รับการตรวจสอบสิทธิ์ อาจทำให้ข้อมูลประจำตัวที่ละเอียดอ่อนจำนวนมากรั่วไหลได้ ซึ่งรวมถึงคีย์ API ที่เชื่อมโยงกับบริการทางการเงิน เช่น Stripe แพลตฟอร์มปัญญาประดิษฐ์ เช่น OpenAI, Anthropic และ NVIDIA NIM รวมถึงบริการสื่อสาร เช่น SendGrid และ Brevo
นอกจากนี้ ยังมีข้อมูลสำคัญอื่นๆ ที่ถูกเปิดเผย เช่น โทเค็นของบอท Telegram, ข้อมูลลับของเว็บฮุค, โทเค็นของ GitHub และ GitLab รวมถึงสตริงการเชื่อมต่อฐานข้อมูล ข้อมูลที่ถูกละเมิดในวงกว้างเช่นนี้ ทำให้ความเสี่ยงต่อการโจมตีในขั้นตอนต่อไปเพิ่มสูงขึ้นอย่างมาก
ผลกระทบเชิงกลยุทธ์: การทำแผนที่ระบบนิเวศโครงสร้างพื้นฐานทั้งหมด
นอกเหนือจากข้อมูลประจำตัวของแต่ละบุคคลแล้ว ข้อมูลที่รวบรวมไว้ยังให้แผนผังโดยละเอียดของสภาพแวดล้อมของผู้ตกเป็นเหยื่อ ผู้โจมตีจะสามารถมองเห็นบริการที่ใช้งานอยู่ รูปแบบการกำหนดค่า ผู้ให้บริการคลาวด์ที่ใช้ และการผสานรวมจากบุคคลที่สามได้
ข้อมูลข่าวกรองดังกล่าวช่วยให้สามารถดำเนินการติดตามผลได้อย่างแม่นยำยิ่งขึ้น รวมถึงการเคลื่อนย้ายภายในเครือข่าย การยกระดับสิทธิ์ การใช้กลวิธีทางสังคม หรือการขายต่อสิทธิ์การเข้าถึงให้กับผู้คุกคามรายอื่น
หลักการป้องกัน: การลดความเสี่ยงและการจำกัดผลกระทบ
ขนาดและความรุนแรงของแคมเปญนี้เน้นย้ำถึงความจำเป็นของมาตรการรักษาความปลอดภัยเชิงรุก องค์กรต่างๆ ต้องให้ความสำคัญกับการตรวจสอบสภาพแวดล้อมอย่างเข้มงวดและการจัดการข้อมูลประจำตัวเพื่อลดความเสี่ยง
การดำเนินการที่แนะนำ ได้แก่:
- บังคับใช้หลักการให้สิทธิ์ขั้นต่ำสุดในทุกระบบและบริการ
การควบคุมการเข้าถึงอย่างมีระเบียบวินัยและการตรวจสอบอย่างต่อเนื่องเป็นสิ่งสำคัญในการป้องกันการโจรกรรมข้อมูลประจำตัวที่เกิดขึ้นโดยอัตโนมัติและในวงกว้าง
