公開されたサーバーからの最近の発見により、Bissaスキャナーと呼ばれるツールで駆動される高度に組織化されたサイバー攻撃作戦が明らかになりました。
攻撃者はReact2Shell脆弱性(CVE-2025-55182)を悪用して、大規模にシステムに侵入しました。
公開されたサーバーには、ハッカーがターゲットをどのように悪用したか、認証情報をどのように収集したか、ワークフローをどのように管理したかを詳しく説明する13,000を超えるファイルが含まれていました。
攻撃をより効率的にするために、オペレーターはClaude CodeやOpenClawなどのAIツールを使用して、コードをトラブルシューティングし、データ収集プロセスを改善しました。
この自動化されたシステムは900社以上のインターネット接続企業に正常に侵入しました。作戦はメッセージングアプリのTelegramを使用して追跡・管理されました。
セキュリティ研究者は、@bissapwned_botという名前のハードコードされたTelegramボットを発見しました。このボットは、「Dr. Tube」または@BonJoviGoesHardとして知られる単一のオペレーターにリアルタイムアラートを送信していました。
これらのアラートにより、ハッカーは被害者のアイデンティティ、セキュリティ態勢、盗まれたデータを被害者のチャットウィンドウで直接簡単に確認できました。このセットアップは、広範囲のインターネットスキャンを高価値なデータ侵害に正常に変換した高度に成熟した作戦を示しています。
盗まれたデータは単なるパスワード以上の範囲に及び、様々な産業にわたる膨大な機密情報を収集しました。
ハッカーはAIプラットフォーム、クラウドプロバイダー、決済システム、データベースを重点的にターゲットにしました。いくつかのケースでは、攻撃者は給与、人事データ、財務取引、個人識別フィールドなどのより深いビジネス記録を正常に盗むことに成功しました。
この膨大な盗まれたデータを保存するために、オペレーターはFilebaseという名前のS3互換クラウドアーカイブを使用しました。
自動化されたシステムは被害者環境ファイルをZIPフォルダにバンドルしてアップロードしました。その結果、2026年4月の単一の2週間の期間に65,000を超えるファイルがアーカイブされました。
セキュリティチームは本番認証情報を標準環境ファイルから安全なシークレットマネージャーに移動する必要があります。
また、侵害されたサーバーが攻撃者にデータを送信できないようにするために、ネットワーク許可を制限し、アウトバウンドインターネットトラフィックを制御することが重要です。
最後に、企業は定期的にパスワードをローテーションし、侵害が発生した場合に迅速に対応できることを確認するためにインシデント対応計画を実施する必要があります。
翻訳元: https://cyberpress.org/telegram-tracks-exploit-successes/