Un actor de amenazas cibernéticas está utilizando la vulnerabilidad React2Shell como base para una campaña generalizada de recolección de credenciales que ha comprometido todo, desde claves API de herramientas de inteligencia artificial hasta contraseñas de plataformas en la nube.
Después de identificar las instancias de componentes de React Server orientadas a Internet que son vulnerable a React2Shelllos piratas informáticos cargan una carga útil maliciosa en el servidor, sin necesidad de autenticación, que les permite ejecutar código arbitrario en el servidor de destino, investigadores del grupo de inteligencia de amenazas Talos de Cisco. dijo en un informe reciente.
La carga útil contiene una “herramienta de recolección de credenciales de múltiples fases que recolecta credenciales, claves SSH, tokens de nube y secretos ambientales a escala”, escribieron los investigadores de Cisco.
Todo el proceso posterior a la identificación del objetivo está automatizado. «No se requiere ninguna interacción manual adicional para extraer y exfiltrar las credenciales obtenidas del sistema», dijo Cisco.
Según el informe, la campaña ha comprometido al menos 766 servidores en varias regiones. La actividad es indiscriminada, dijo Cisco, y los piratas informáticos no se centran en países o industrias específicas.
Cisco rastrea al actor de amenazas responsable de la campaña como UAT-10608, pero no proporcionó información sobre el grupo.
Mina de oro de datos sensibles
Después de que el software de recolección de credenciales recopila datos, los transmite a un servidor controlado por piratas informáticos que ejecuta una aplicación web, NEXUS Listener, que permite una navegación fácil de usar por los datos robados. Cisco analizó los datos almacenados en un servidor NEXUS Listener sin contraseña y los describió como voluminosos y altamente sensibles.
Los datos comprometidos incluían claves API para OpenAI, Anthropic y otras plataformas de IA; claves secretas para la plataforma de procesamiento de pagos Stripe; Claves de acceso a los servicios web de Amazon; Credenciales de suscripción a Microsoft Azure; y tokens de acceso de GitHub. También estaban presentes credenciales de inicio de sesión temporales y potencialmente potentes para instancias de AWS, metadatos sobre instancias de Docker y tokens de Kubernetes, según Cisco.
Los piratas informáticos también recopilaron claves privadas SSH. Esto podría permitirles moverse lateralmente en servidores que confían en las claves, así como acceder a lecturas de la actividad del símbolo del sistema de las máquinas víctimas, lo que podría brindar a los piratas informáticos información valiosa para seguimiento de reconocimiento, robo o sabotaje.
Fuente