关键词
漏洞
攻击行动曝光
新近曝光的一台服务器揭示了威胁攻击者如何利用自动化工具、AI 辅助和 Telegram 机器人悄无声息地入侵了全球 900 多家企业。这项围绕名为"Bissa scanner"工具展开的大规模行动,专门针对暴露在互联网上的 Web 应用程序,窃取敏感凭证,并将实时漏洞利用警报直接发送至攻击者的 Telegram 账户。
漏洞利用机制
攻击的核心是利用 Next.js 中的一个关键漏洞(CVE-2025-55182),安全研究人员称之为 React2Shell。该漏洞使攻击者能够针对数百万台 Web 服务器,窃取通常包含密码、API 密钥和访问令牌的敏感环境文件(.env)。威胁攻击者并非随机扫描,而是构建了结构化工作流程,根据被盗数据的潜在价值对受害者进行查找、利用和分级。金融机构、加密货币平台和零售企业是受影响最严重的行业。
自动化攻击基础设施
DFIR Report 分析师在发现一台暴露的服务器后确认了此次攻击行动的全貌,该服务器存储了分布在 150 多个目录中的 13,000 多个文件。研究人员指出,这些内容远非简单的数据转储,而是展示了高度专业化的攻击行动,所有漏洞利用脚本、受害者数据暂存、凭证收集和访问验证都在同一地点运行。暴露的主机还显示,攻击者使用 Claude Code 和名为 OpenClaw 的工具进行故障排除和工作流管理,为大规模漏洞利用行动提供了罕见的自动化水平和效率。
Telegram 实时通知系统
此次发现最引人注目的是攻击者将 Telegram 用作实时通知系统。Bissa scanner 框架中的运行脚本硬编码了与名为 @bissapwned_bot 的 Telegram 机器人相关联的令牌。每当扫描器确认一次成功的 React2Shell 漏洞利用时,机器人就会直接向攻击者的私人 Telegram 聊天发送结构化警报。公开可识别为 Telegram 用户名 @BonJoviGoesHard、显示名称为"Dr. Tube"的操作员,每条确认的攻击都会收到一行信息,包含受害者的身份、云环境状态、权限级别和可用密钥。这使得攻击者能够近乎实时地从即时通讯应用中筛选数百次入侵。
凭证收集规模
凭证收集规模惊人。攻击者从数万个 .env 文件中收集了 Anthropic 和 OpenAI 等 AI 提供商的密钥和令牌,AWS 和 Azure 等云平台,Stripe 和 PayPal 等支付系统,以及 MongoDB 和 Supabase 等数据库的访问凭证。在 2026 年 4 月 10 日至 21 日期间,攻击者使用兼容 S3 的 Filebase 向名为"bissapromax"的云存储桶上传了超过 65,000 个归档文件条目,显示出收集管道的自动化程度和持续性。
Telegram 机器人通知系统工作原理
Telegram 警报设置是整个行动中最具技术揭示性的部分之一。@bissapwned_bot 发送的每条确认消息都带有结构化标头,包含消息 ID、日期、发送者用户名和机器人用户 ID。消息正文以表情符号分隔的字段单行书写,使攻击者无需手动登录服务器即可立即了解每个受害者的概况。这种设计选择显示出明显的操作成熟度:攻击者希望在查看结果时获得速度、清晰度和最小工作量。
DFIR Report 分析师发现攻击者至少运行了两个独立的机器人:用于扫描警报的 @bissapwned_bot 和由 OpenClaw 驱动的 AI 控制子系统中的 @bissa_scan_bot。对 Telegram API 的元数据查询证实,两个机器人在发现时都保持活跃状态。目标聊天解析为机器人与单个操作员之间的私人对话,确认这是一次单人操作、集中管理的攻击行动。这种基础设施投入水平表明,攻击者长期从事此类操作,存储阶段名称可追溯至 2025 年 9 月。
防御建议
DFIR Report 研究人员提出了几项组织应立即采取的强有力防御措施:
积极打补丁并订阅供应商公告,确保关键 CVE 不会在事件发生前被忽视
将生产凭证从 .env 文件迁移到适当的密钥管理器,在运行时注入具有短生命周期和窄权限的凭证
通过记录日志的代理控制应用层的出站流量,防止被入侵主机静默连接攻击者基础设施
定期轮换凭证,扫描代码和构建产物中嵌入的密钥,并设置触发警报的蜜罐令牌
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴