複数ライセンス割引見積
脅威データベース 脆弱性 CVE-2025-55182

CVE-2025-55182

脆弱性Mezoまで
翻訳内容:

大規模な認証情報窃盗キャンペーンが確認されました。このキャンペーンは、React2Shellの脆弱性を主な感染経路として利用しています。この攻撃は、脆弱なNext.jsアプリケーションを標的としており、特にReact Server ComponentsとNext.js App Routerに影響を与える、CVSSスコア10.0の重大な脆弱性であるCVE-2025-55182を悪用しています。この脆弱性を悪用すると、リモートコード実行が可能になり、攻撃者は標的システムへの侵入経路を確保できます。

セキュリティ研究者らは、この活動をUAT-10608として追跡されている脅威クラスターに起因するものとしている。この攻撃キャンペーンは既に複数の地域およびクラウド環境にわたる少なくとも766台のホストを侵害しており、その規模と攻撃範囲の広さを示している。

大規模な自動侵入:広範囲かつ無差別な標的設定

この攻撃パターンは、高度に自動化された偵察および悪用技術を反映しています。攻撃者は、Shodan、Censysなどの大規模スキャンツール、または独自開発のスキャナーを利用して、脆弱性の影響を受ける公開されているNext.js環境を特定していると考えられます。

この無差別な標的設定戦略により、脆弱なシステムを迅速に特定することが可能になり、侵害の成功率と規模が大幅に向上する。

マルチステージペイロード展開:アクセスからデータ収集まで

最初の侵害後、ドロッパーが展開され、NEXUS Listenerと呼ばれる多段階のデータ収集フレームワークがインストールされます。このフレームワークは、感染したシステムから機密データを抽出し、中央集権型のコマンド&コントロール(C2)インフラストラクチャに送信するように設計された自動化スクリプトを統制します。

収穫プロセスは広範囲にわたり、体系的に以下のものを収集します。

  • 環境変数とJSON解析されたランタイム構成
  • SSH秘密鍵とauthorized_keysファイル
  • シェルコマンドの履歴と実行中のプロセスの詳細
  • KubernetesサービスアカウントトークンとDockerコンテナ構成
  • APIキー、データベース認証情報、クラウドサービスシークレット
  • クラウドメタデータサービス(AWS、Google Cloud、Microsoft Azure)経由で取得した一時的なIAM認証情報

NEXUSリスナー:集中型インテリジェンスと制御

この作戦の中核を成すのは、攻撃者のC2インフラストラクチャ上でホストされている、パスワードで保護されたウェブベースのアプリケーションであるNEXUS Listenerです。このインターフェースは、オペレーターに盗まれたデータを監視・分析するための包括的なグラフィカルダッシュボードを提供します。

このプラットフォームの主な機能は以下のとおりです。

  • 侵害されたホストと収集された認証情報をリアルタイムで可視化
  • 効率的なデータフィルタリングと分析のための検索機能
  • 資格の種類と件数を詳細に示した集計統計
  • アプリケーションの稼働時間や運用状況などのシステム指標

現在確認されているバージョンであるNEXUS Listener V3は、継続的な開発と改良が行われていることを示しており、成熟し進化し続けるツールセットであることを示唆している。

機密情報の漏洩:危険なデータキャッシュ

設定ミスや認証されていないNEXUS Listenerパネルによって、機密性の高い認証情報が広範囲に漏洩する事例が発生しています。これには、Stripeなどの金融サービス、OpenAI、Anthropic、NVIDIA NIMなどの人工知能プラットフォーム、SendGridやBrevoなどの通信サービスに関連付けられたAPIキーが含まれます。

その他に漏洩した資産には、Telegramボットトークン、Webhookシークレット、GitHubおよびGitLabトークン、データベース接続文字列などが含まれます。これほど広範囲に及ぶデータが漏洩したことで、下流への攻撃リスクが大幅に高まります。

戦略的インパクト:インフラエコシステム全体のマッピング

個々の認証情報に加えて、集約されたデータは被害者の環境の詳細な設計図を提供する。攻撃者は、展開されているサービス、構成パターン、使用されているクラウドプロバイダー、およびサードパーティ統合に関する情報を把握できる。

このような情報によって、横方向の移動、権限昇格、ソーシャルエンジニアリング攻撃、あるいは他の脅威アクターへのアクセス権の再販など、高度に標的を絞った後続作戦が可能になります。

防御上の必須事項:リスクの軽減と暴露の制限

今回の攻撃の規模と深刻さは、積極的なセキュリティ対策の必要性を改めて浮き彫りにしています。組織は、リスクを軽減するために、厳格な環境監査と認証情報管理の実践を優先的に行う必要があります。

推奨される対策は以下のとおりです。

  • すべてのシステムとサービスにおいて最小権限の原則を徹底する
  • 公開された認証情報を検出するために、自動シークレットスキャンを有効にする
  • 環境間でSSHキーペアを再利用することを避ける
  • メタデータへのアクセスを保護するため、すべてのAWS EC2インスタンスでIMDSv2を強制適用します。
  • 侵害が疑われる場合は、すべての認証情報を直ちにローテーションする。

    • ますます自動化が進み、大規模化する認証情報窃盗行為から身を守るためには、アクセス制御と継続的な監視に対する規律あるアプローチが不可欠です。

    トレンド

    Perseus バンキングマルウェア

    モバイルマルウェア, バンキング型トロイの木馬
    サイバーセキュリティアナリストは、Perseus Androidマルウェアと呼ばれる新たなAndroidマルウェアファミリーを特定しました。このマルウェアは、デバイス乗っ取り(DTO)や金融詐欺を実行するために、実際に広く展開されています。この脅威は、既存の手法と強化された運用上の柔軟性を組み合わせた、モバイルマルウェアの大きな進化を示しています。 実績のあるマルウェア系統からの進化 Per...

    ValidVersion.app

    Mac マルウェア, アドウェア, 望ましくない可能性のあるプログラム
    Macを侵入的で信頼できないアプリケーションから保護することは、単に良い習慣というだけでなく、プライバシー、セキュリティ、そしてシステム全体のパフォーマンスを維持するために不可欠です。潜在的に不要なプログラム(PUP)、特にアドウェアは、気づかれないうちにシステムに侵入し、通常の使用を妨害することで、ユーザーを深刻なリスクにさらすように設計されています。 ValidVersion.appとは...

    ストレージ制限に達しましたというメール詐欺

    フィッシング, スパム
    予期せぬメールはしばしば説得力があるように見えるが、警戒を怠ってはならない。サイバー犯罪者は、受信者の緊急性や恐怖心を煽り、適切な確認なしに行動を起こさせようとする。こうした脅威の一つとして、「ストレージ容量制限に達しました」というメール詐欺が挙げられる。これは、悪意のあるコンテンツや営利目的のコンテンツにユーザーを誘導することを目的とした、巧妙な手口である。 ストレージアカウントが満杯であるという錯覚 これらの詐欺メールは、ユーザーのクラウドストレージがほぼ使い果たされたと主張し、通常は15GBの制限の98%が使用されたと記載しています。また、同期やバックアップなどの重要なサービスが一...

    最も見られました

    「プリンタドライバが利用できません」エラーを修正する方法

    問題
    35,254
    プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
    画面を共有するとDiscordが黒い画面を表示するスクリーンショット

    画面を共有するとDiscordが黒い画面を表示する

    問題
    29,491
    最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

    Eporner.com

    問題
    24,433
    インターネットは、役立つコンテンツ、エンターテイメント、そして情報で溢れる広大な空間ですが、同時に危険な側面も存在します。番組のストリーミング再生、アプリのダウンロード、アダルトコンテンツプラットフォームの利用など、どんな場面でも常に警戒を怠らないことが重要です。多くのサイト、特に積極的な広告で運営されているサイトは、深刻なセキュリティリスクをもたらす可能性があります。懸念されているサイトの...
    読み込んでいます...