| 关键词:React2Shell漏洞, Bissa, Telegram, Claude, OpenClaw, Dr. Tube, BI, Go, 服务器, 攻击者 | ||||||||||||||||||||||||||||
opendir[1] 关键发现这台服务器的发现过程很有意思,它就像一个粗心的黑客忘记了关掉家里的灯,让整个“工作室”暴露在网络上。
运作机制:有组织的工业化攻击这台服务器上有超过13000个文件,分布在150多个目录里,涉及漏洞利用、受害者数据暂存、凭证窃取和操作员工作流管理。 攻击者用Claude Code来理解和优化扫描器代码,用OpenClaw作为一个本地的AI控制界面。这些工具被集成到日常工作中,用于故障排除、流程编排和完善数据收集管道。 整个Bissa扫描器是一个成熟、模块化的操作平台。它不仅仅是用来存放随机偷来的数据,而是支撑着一个有组织的行动,目标是在大规模获取访问权限的同时,将最高价值的结果“操作化”。 ![]() 被盗的“秘密”:AI和云凭证成重灾区窃取的凭证覆盖了现代SaaS的每个层级,而AI提供商相关的密钥成为了数量最多的单一类别。 这份清单很能说明问题。现在的软件高度依赖外部服务,一个.env文件泄露,可能意味着公司的AI能力、云基础设施、客户通讯渠道、支付网关和核心数据库全部沦陷。 单纯从数量上看,这次泄露的规模也同样惊人: ![]() 受害者:金融与加密资产成焦点除了窃取密钥,攻击者还对特定高价值目标进行了深度数据挖掘。 受害者A:一家中型税务咨询和财务顾问公司。服务器上不仅有该公司的直接入侵证据,还有一个独立的、标记为“数据样本”的打包数据集。这个数据集里有什么?Plaid银行连接令牌、关联的银行账户数据、IRS税务记录、ACH转账记录、Twilio通话记录、Salesforce联系人,以及包含个人社保号(SSN)和出生日期(DOB)字段的客户案例数据。 受害者B:一家大型数字资产、支付和企业金融公司。数据看起来是通过经身份验证的Oracle Fusion REST接口导出的,内容涉及供应商、发票、采购订单、支付流程和银行账户数据。 受害者C:一家中型薪资、人力资源和稳定币支付平台。数据包括薪资单、结算记录、Fireblocks加密货币托管集成信息,以及HRIS相关材料。 你看,目标非常明确。这些数据不是网站页面,而是直接能用来欺诈、勒索或者了解企业内部财务状况的核心商业机密。对于受害者B和C,其初始的入侵路径尚不明确,但数据已经躺在了攻击者的服务器上。 攻击者:一个叫“Dr. Tube”的独狼这次分析最有趣的部分之一,是清晰地看到了攻击者的身影。 Bissa扫描器里的脚本硬编码了一个Telegram机器人令牌,指向机器人 这个操作员的公开Telegram身份是用户名 ![]()
![]() 攻击能力:模块化与规模化Bissa扫描器扫描器的核心是围绕Next.js的React2Shell漏洞(CVE-2025-55182)构建的工作流。 扫描器依赖两个关键文件:一个是包含目标列表的“获取器”文件,一个是定义漏洞利用类型的“租约”文件。这些文件显示,操作员从一个托管在cs2.ip.thc.org的ZIP压缩包中获得目标列表,分配好CVE-2025-55182漏洞利用模块,然后部署一个有效载荷。这个载荷会尝试枚举.env文件、云服务元数据、Kubernetes服务账户、本地凭证存储、数据库和Redis访问权限、加密货币钱包信息等等高价值“秘密”。 一个名为“confirmed hits”的文件显示,超过900家公司通过这个工作流被成功入侵。 ![]() 扫描器还包括一个专门针对WordPress的模块,目标是CVE-2025-9501(W3 Total Cache插件中的一个未授权命令注入漏洞)。不过在我们恢复的模块中,只看到了版本检查逻辑,实际的RCE(远程代码执行)载荷并不在其中,也没有发现通过这个模块成功入侵的证据。 数据外传:利用S3兼容存储攻击者很聪明,他没有把偷来的所有.env文件都堆在自己的服务器上。 他使用与S3兼容的Filebase服务,作为受害者的.env文件的“场外归档库”。扫描器被配置为监控本地的results/目录,将*.env文件批量打包成ZIP,然后上传到hxxps://s3.filebase[.]com的 ![]() Filebase存储桶的历史记录显示出至少三个阶段:2025年9月的bissa,2025年11月的bissa2,以及从2025年12月至今的bissapromax。其中,只有bissapromax存储桶里有可恢复的归档内容,正好对应上我们看到的2026年4月大规模.env文件收集工作流。 ![]() 这些S3存储桶中的完整数据包包含400多个原始的env-batch-*.zip对象,涵盖了超过3万个不同的.env文件名,时间跨度从2026年4月10日到4月21日。这些ZIP文件总共包含超过6.5万个存档文件条目,显示同一个受害者的文件会随着时间的推移,被反复打包和重新上传,而不是暂存一次就丢弃。 ![]() ![]() 防御者该怎么做?这种工业化的攻击让传统的防火墙和杀毒软件显得有点力不从心。防御需要更精细、更深入的策略。
现状更新:鉴于从这台暴露服务器恢复的材料的敏感性,相关IP地址不会公开披露。执法部门已介入,所有与该目录相关的主要受害者都已收到直接通知。针对此事件的协调披露和受害者通知工作正在进行中。 参考资料[1] https://thedfirreport.com/category/opendir/ [2] https://thedfirreport.com/2026/04/22/bissa-scanner-exposed-ai-assisted-mass-exploitation-and-credential-harvesting/ | ||||||||||||||||||||||||||||
| 本文出处: https://mp.weixin.qq.com/s/QyLu2yTAiprgZwazDNlT_Q | ||||||||||||||||||||||||||||
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|