تستمر الهجمات الإلكترونية في التطور، وتظهر تقنيات جديدة تهدد أمان البيانات. في هذا السياق، تستغل حملة سرقة بيانات الاعتماد الآلية ثغرة React2Shell في تطبيقات الويب العامة.
تستغل حملة عالمية عبر الصناعات لسرقة بيانات الاعتماد التطبيقات الويب العامة المعرضة لثغرة React2Shell، ثم تنشر أداة جمع تلقائية لسرقة بيانات الاعتماد وغيرها من البيانات النظامية القيمة لمزيد من الأنشطة الخبيثة.
اكتشف الباحثون في Cisco Talos الحملة، التي ينسبونها إلى مجموعة تهديد تُعرف باسم UAT-10608، والتي تستخدم إطار عمل لجمع بيانات الاعتماد تلقائيًا يُعرف باسم “NEXUS Listener”، وفقًا لتقرير نُشر الأسبوع الماضي.
“أدت الحملة المنهجية للاستغلال والاستخراج إلى اختراق ما لا يقل عن 766 مضيفًا، حتى وقت كتابة هذه السطور، عبر مناطق جغرافية متعددة ومزودي سحاب”، كتب محللو Cisco أشير مالهوترا وبراندون وايت في المنشور.
تستهدف الهجمات تطبيقات الويب Next.js المعرضة لثغرة CVE-2025-55182 — وهي ثغرة تنفيذ تعليمات برمجية عن بُعد (RCE) قبل المصادقة تُعرف بشكل أفضل باسم React2Shell، والتي تم اكتشافها في البداية واستغلالها على نطاق واسع في أواخر العام الماضي — للحصول على الوصول الأولي إلى شبكات الضحايا. تؤثر React2Shell على مكونات خادم React (RSCs) وإذا تم استغلالها، فإنها تسمح للنقاط المتأثرة بتحليل الحمولة من الطلبات HTTP الواردة دون التحقق أو التنظيف الكافي.
بعد النجاح في الاختراق، يقوم المهاجمون بنشر NEXUS Listener لسرقة بيانات الاعتماد، مفاتيح SSH، رموز السحابة، وأسرار البيئة على نطاق واسع من النظام. يمكنهم بعد ذلك الوصول إلى هذه البيانات من واجهة المستخدم الرسومية (GUI) للأداة التي تتضمن إحصائيات مفصلة وإمكانيات بحث تسمح لهم بالتنقل عبرها كما يشاءون.
تسلسل الهجوم شبه التلقائي
تبدو الحملة، التي تمتد عبر صناعات وجغرافيات متنوعة، عملًا لمهاجمين مهرة يستخدمون أدوات وخدمات تلقائية تحت تصرفهم لتحديد الأنظمة المعرضة ورمي أكبر شبكة هجوم ممكنة، كما لاحظ الباحثون.
“تتوافق اتساع مجموعة الضحايا ونمط الاستهداف العشوائي مع المسح التلقائي — على الأرجح بناءً على بيانات ملف تعريف المضيف من خدمات مثل Shodan، Censys، أو ماسحات مخصصة لتعداد نشرات Next.js القابلة للوصول علنًا واستكشافها بحثًا عن الثغرات الموصوفة في تكوين React”، كتبوا.
يشارك المهاجمون فقط في الجزء الأول من الهجوم قبل أن تسيطر NEXUS Listener. يبدأ الهجوم بتحديد تطبيق ويب متاح للجمهور باستخدام إصدار معرض من RSCs أو إطار عمل مبني عليه، مثل Next.js.
ثم يقوم المهاجمون بإنشاء حمولة تسلسلية خبيثة لاستغلال React2Shell ويستخدمون طلب HTTP يُرسل مباشرة إلى نقطة نهاية وظيفة الخادم لإرسال الحمولة، والتي لا تتطلب أي مصادقة، كما قالوا. “يقوم الخادم بتحليل الحمولة الخبيثة، مما يؤدي إلى تنفيذ تعليمات برمجية عشوائية في عملية Node.js على جانب الخادم”، كتب الباحثون.
أداة تلقائية قوية
بمجرد أن يحدد المهاجمون نقطة نهاية معرضة، لا توجد تفاعلات يدوية أخرى، حيث تأخذ NEXUS Listener على عاتقها استخراج واستخراج بيانات الاعتماد التي تم جمعها من النظام. يعمل الإطار كمنصة للتحكم في الأوامر (C2) ولوحة تحكم تحليلية.
“تزيد هذه المجموعة المنظمة من البيانات بشكل كبير من القيمة التشغيلية للاختراق، مما يحول بيانات الاعتماد المسروقة إلى مجموعة بيانات استخباراتية قابلة للبحث”، كتب الباحثون.
تمنح القدرات المحسّنة للأداة التلقائية المهاجمين مجموعة من الخيارات الخبيثة للأنشطة الهجومية اللاحقة التي يمكنهم الانخراط فيها بسبب الفرصة لرؤية خريطة تفصيلية للبنية التحتية للضحايا — بما في ذلك الخدمات، استخدام السحابة، والتكاملات. تشمل هذه الخيارات هجمات إضافية، حملات هندسة اجتماعية، وبيع الوصول لمهاجمين آخرين، وفقًا للباحثين.
توصيات الدفاع
تبدأ الدفاعات ضد حملة سرقة بيانات الاعتماد UAT-10608 بتصحيح CVE-2025-55182 في جميع نشرات Next.js، والتي، نظرًا لاستمرار الهجمات، لم يتم تنفيذها بعد من قبل العديد من المنظمات المتأثرة.
يجب على المدافعين أيضًا تدوير جميع بيانات الاعتماد ورموز API المعرضة، وفرض الوصول الأقل امتيازًا، وتجنب إعادة استخدام مفاتيح SSH للتخفيف من الأنشطة الخبيثة مثل تلك التي قامت بها مجموعة التهديد، كما قال الباحثون. يجب عليهم أيضًا تقييد الوصول إلى خدمات بيانات التعريف السحابية، وتنفيذ مسح الأسرار، ومراقبة الأنشطة الشاذة لتجنب الاختراق.
يمكن لفرق الأمن أيضًا التحقيق في أدلة محددة لهجوم UAT-10608 على مضيفي تطبيق الويب، بما في ذلك ما يلي: عمليات غير متوقعة تم إنشاؤها من /tmp/ بأسماء عشوائية مسبوقة بنقطة، استدعاءات nohup في قوائم العمليات غير المرتبطة بسير العمل المعروف للتطبيق، اتصالات HTTP/S غير عادية من حاويات التطبيقات إلى نقاط نهاية غير إنتاجية، وأدلة على __NEXT_DATA__ تحتوي على أسرار على جانب الخادم في HTML المُعَدّ.
للحماية من هذه التهديدات، يجب على المؤسسات اتخاذ خطوات استباقية لتصحيح الثغرات وتعزيز أمان أنظمتها.
