關(guān)鍵詞

漏洞

攻擊行動曝光

新近曝光的一臺服務(wù)器揭示了威脅攻擊者如何利用自動化工具、AI 輔助和 Telegram 機器人悄無聲息地入侵了全球 900 多家企業(yè)。這項圍繞名為"Bissa scanner"工具展開的大規(guī)模行動，專門針對暴露在互聯(lián)網(wǎng)上的 Web 應(yīng)用程序，竊取敏感憑證，并將實時漏洞利用警報直接發(fā)送至攻擊者的 Telegram 賬戶。

漏洞利用機制

攻擊的核心是利用 Next.js 中的一個關(guān)鍵漏洞（CVE-2025-55182），安全研究人員稱之為 React2Shell。該漏洞使攻擊者能夠針對數(shù)百萬臺 Web 服務(wù)器，竊取通常包含密碼、API 密鑰和訪問令牌的敏感環(huán)境文件（.env）。威脅攻擊者并非隨機掃描，而是構(gòu)建了結(jié)構(gòu)化工作流程，根據(jù)被盜數(shù)據(jù)的潛在價值對受害者進行查找、利用和分級。金融機構(gòu)、加密貨幣平臺和零售企業(yè)是受影響最嚴(yán)重的行業(yè)。

自動化攻擊基礎(chǔ)設(shè)施

DFIR Report 分析師在發(fā)現(xiàn)一臺暴露的服務(wù)器后確認(rèn)了此次攻擊行動的全貌，該服務(wù)器存儲了分布在 150 多個目錄中的 13,000 多個文件。研究人員指出，這些內(nèi)容遠(yuǎn)非簡單的數(shù)據(jù)轉(zhuǎn)儲，而是展示了高度專業(yè)化的攻擊行動，所有漏洞利用腳本、受害者數(shù)據(jù)暫存、憑證收集和訪問驗證都在同一地點運行。暴露的主機還顯示，攻擊者使用 Claude Code 和名為 OpenClaw 的工具進行故障排除和工作流管理，為大規(guī)模漏洞利用行動提供了罕見的自動化水平和效率。

Telegram 實時通知系統(tǒng)

此次發(fā)現(xiàn)最引人注目的是攻擊者將 Telegram 用作實時通知系統(tǒng)。Bissa scanner 框架中的運行腳本硬編碼了與名為 @bissapwned_bot 的 Telegram 機器人相關(guān)聯(lián)的令牌。每當(dāng)掃描器確認(rèn)一次成功的 React2Shell 漏洞利用時，機器人就會直接向攻擊者的私人 Telegram 聊天發(fā)送結(jié)構(gòu)化警報。公開可識別為 Telegram 用戶名 @BonJoviGoesHard、顯示名稱為"Dr. Tube"的操作員，每條確認(rèn)的攻擊都會收到一行信息，包含受害者的身份、云環(huán)境狀態(tài)、權(quán)限級別和可用密鑰。這使得攻擊者能夠近乎實時地從即時通訊應(yīng)用中篩選數(shù)百次入侵。

憑證收集規(guī)模

憑證收集規(guī)模驚人。攻擊者從數(shù)萬個 .env 文件中收集了 Anthropic 和 OpenAI 等 AI 提供商的密鑰和令牌，AWS 和 Azure 等云平臺，Stripe 和 PayPal 等支付系統(tǒng)，以及 MongoDB 和 Supabase 等數(shù)據(jù)庫的訪問憑證。在 2026 年 4 月 10 日至 21 日期間，攻擊者使用兼容 S3 的 Filebase 向名為"bissapromax"的云存儲桶上傳了超過 65,000 個歸檔文件條目，顯示出收集管道的自動化程度和持續(xù)性。

Telegram 機器人通知系統(tǒng)工作原理

Telegram 警報設(shè)置是整個行動中最具技術(shù)揭示性的部分之一。@bissapwned_bot 發(fā)送的每條確認(rèn)消息都帶有結(jié)構(gòu)化標(biāo)頭，包含消息 ID、日期、發(fā)送者用戶名和機器人用戶 ID。消息正文以表情符號分隔的字段單行書寫，使攻擊者無需手動登錄服務(wù)器即可立即了解每個受害者的概況。這種設(shè)計選擇顯示出明顯的操作成熟度：攻擊者希望在查看結(jié)果時獲得速度、清晰度和最小工作量。

DFIR Report 分析師發(fā)現(xiàn)攻擊者至少運行了兩個獨立的機器人：用于掃描警報的 @bissapwned_bot 和由 OpenClaw 驅(qū)動的 AI 控制子系統(tǒng)中的 @bissa_scan_bot。對 Telegram API 的元數(shù)據(jù)查詢證實，兩個機器人在發(fā)現(xiàn)時都保持活躍狀態(tài)。目標(biāo)聊天解析為機器人與單個操作員之間的私人對話，確認(rèn)這是一次單人操作、集中管理的攻擊行動。這種基礎(chǔ)設(shè)施投入水平表明，攻擊者長期從事此類操作，存儲階段名稱可追溯至 2025 年 9 月。

防御建議

DFIR Report 研究人員提出了幾項組織應(yīng)立即采取的強有力防御措施：

1. 積極打補丁并訂閱供應(yīng)商公告，確保關(guān)鍵 CVE 不會在事件發(fā)生前被忽視

2. 將生產(chǎn)憑證從 .env 文件遷移到適當(dāng)?shù)拿荑€管理器，在運行時注入具有短生命周期和窄權(quán)限的憑證

3. 通過記錄日志的代理控制應(yīng)用層的出站流量，防止被入侵主機靜默連接攻擊者基礎(chǔ)設(shè)施

4. 定期輪換憑證，掃描代碼和構(gòu)建產(chǎn)物中嵌入的密鑰，并設(shè)置觸發(fā)警報的蜜罐令牌

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！