ตรวจพบเซิร์ฟเวอร์ที่เปิดเผยต่อสาธารณะ ซึ่งทำให้เห็นภาพรวมของปฏิบัติการ Exploitation และ Collection ขนาดใหญ่ที่มีเหยื่อจำนวนมาก โดย Artifacts บน Host แสดงให้เห็นว่ามีการฝัง Claude Code และ OpenClaw ไว้ใน Workflow ประจำวันของ Operator เพื่อสนับสนุนการ Troubleshooting, Orchestration และการปรับปรุง Collection Pipeline ปฏิบัติการที่ใช้ AI ช่วยนี้ส่งผลให้แพลตฟอร์มแบบ Modular ชื่อ Bissa Scanner สามารถสร้างกระบวนการที่มีโครงสร้างกว้างขึ้นสำหรับการ Exploit เป้าหมาย, การตรวจสอบผลลัพธ์, การตรวจสอบสิทธิ์การเข้าถึง และการจัดลำดับความสำคัญของสภาพแวดล้อมเหยื่อที่มีมูลค่าสูงสุด
เซิร์ฟเวอร์ดังกล่าวประกอบด้วยไฟล์มากกว่า 13,000 ไฟล์ใน Directory กว่า 150 แห่งที่เกี่ยวข้องกับ Exploitation, Victim-Data Staging, Credential Harvesting, Access Validation และ Operator Workflow Management เนื้อหาภายในแสดงให้เห็นว่าโครงสร้างพื้นฐานนี้ไม่ได้ถูกใช้เพียงเพื่อจัดเก็บข้อมูลที่ขโมยมาเท่านั้น แต่ยังสนับสนุนปฏิบัติการที่เป็นระบบซึ่งสร้างขึ้นเพื่อเข้ายึดการ Access ในวงกว้าง และเปลี่ยนผลลัพธ์ที่มีมูลค่าสูงสุดให้เป็นประโยชน์ในการปฏิบัติงาน
Artifacts บน Host แสดงให้เห็นว่า React2Shell (CVE-2025-55182) เป็นหัวใจสำคัญของปฏิบัติการ โดย Workflow นี้ดูเหมือนจะสามารถสแกนเป้าหมายที่เชื่อมต่อกับอินเทอร์เน็ตได้หลายล้านรายการ ซึ่ง Logs ระบุว่า มีการยืนยันการ Compromise มากกว่า 900 ครั้ง ข้อมูลที่ถูกเก็บรวบรวมประกอบด้วย Environment Files และ Credentials จำนวนมาก ครอบคลุมทั้งผู้ให้บริการ AI, Cloud Services, Payment Platforms, Databases และ Messaging Systems นอกจากนี้ยังมีสคริปต์เพิ่มเติม และ Local Tooling ที่บ่งชี้ว่า Operator กำลังทำการทดสอบ และคัดแยก Access นี้อย่างต่อเนื่อง เพื่อตรวจสอบว่า Credentials, Accounts และชุดข้อมูลของเหยื่อรายใดมีประโยชน์มากที่สุดสำหรับการดำเนินการ
เซิร์ฟเวอร์ที่เปิดเผยนี้ยังประกอบด้วยกลุ่มข้อมูลอื่น ๆ ของเหยื่อ เช่น บันทึกด้านการเงิน, Payroll, HR, CRM, การสื่อสาร และบันทึกทางธุรกิจที่มีความสำคัญอื่น ๆ ซึ่งแสดงให้เห็นว่า ปฏิบัติการนี้สนับสนุนทั้ง Initial Exploitation และการรวบรวมข้อมูลเชิงลึกหลังการโจมตี ในขณะที่สภาพแวดล้อมของเหยื่อบางรายแสดงหลักฐานโดยตรงของการ Exploit ผ่าน Scanner Workflow แต่ในกลุ่มข้อมูลอื่น ๆ ยังไม่สามารถยืนยันได้แน่ชัด
ตัว Host ยังให้ข้อมูลเชิงลึกที่หาได้ยากเกี่ยวกับโครงสร้างพื้นฐาน และ Operator ที่อยู่เบื้องหลังกิจกรรมนี้ โดยพบ Telegram-Based Alerting Artifacts ที่ถูก Hardcoded ไว้ภายใน Bissa Scanner Harness ซึ่งเชื่อมโยงปฏิบัติการนี้กับ Operator เพียงรายเดียวที่ระบุตัวตนต่อสาธารณะได้จากชื่อผู้ใช้ Telegram @BonJoviGoesHard และชื่อ Display 'Dr. Tube' โดย Operator ดูเหมือนจะใช้งานบอทอย่างน้อยสองตัว คือ @bissapwned_bot สำหรับ Scanner Alerting และ @bissa_scan_bot ภายในระบบ AI-Control
โครงสร้างพื้นฐานของ Bissa Scanner เป็นการดำเนินการแบบ Modular ที่มีความซับซ้อน และสมบูรณ์ ออกแบบมาเพื่อ Exploit เป้าหมายในวงกว้าง, รวบรวม และตรวจสอบ Secrets และใช้ Workflow ที่ขับเคลื่อนด้วย AI เพื่อเพิ่มประสิทธิภาพในการรวบรวม และคัดแยก หลักฐานแสดงให้เห็นถึงแคมเปญที่มีระเบียบ และดำเนินมาอย่างยาวนานพร้อมอัตราความสำเร็จที่สูง โดย Operator ได้สร้าง Repeatable Workflows สำหรับ Exploitation, Validation, Alerting และ Prioritization ซึ่งแสดงให้เห็นว่านอกจากความสามารถทางเทคนิค ยังมีความเข้าใจที่ชัดเจนในการเปลี่ยนการสแกนระดับอินเทอร์เน็ตให้เป็นการ Compromise ที่มีความน่าเชื่อถือ และมีมูลค่าสูง
Secrets
การเก็บรวบรวม Credential ครอบคลุมทุกระดับของ Modern SaaS โดยมีผู้ให้บริการ AI กลายเป็นหมวดหมู่ที่ใหญ่ที่สุดเพียงหมวดเดียว Credentials ที่ถูก Dump ออกมาประกอบด้วย Platform-Related Keys ดังต่อไปนี้:
เหยื่อ
เหยื่อสามรายที่พบข้อมูลรั่วไหลมากกว่าแค่ Secrets และ Tokens:
เหยื่อรายแรกคือ Victim A ซึ่งระบุในภาพกว้างว่าเป็นบริษัทที่ปรึกษาด้านการเงิน และการจัดการภาษีขนาดกลาง พบหลักฐานการ Exploit โดยตรงในสภาพแวดล้อมนี้ และพบ Staged Bundle แยกต่างหากที่ระบุว่าเป็น Data Sample อยู่บน Host เดียวกัน ชุดข้อมูลที่รวบรวมได้รวมถึง Plaid Tokens, ข้อมูลบัญชีธนาคารที่เชื่อมโยงกัน, ข้อมูล IRS Transcript, บันทึกที่เกี่ยวข้องกับ ACH, Twilio Calls, รายชื่อติดต่อ Salesforce และข้อมูลทางคดีที่มีฟิลด์ SSN และวันเดือนปีเกิด
ข้อมูลอีกกลุ่มหนึ่งระบุว่าเป็นของ Victim B ซึ่งเป็นบริษัทสินทรัพย์ดิจิทัล การชำระเงิน และการเงินระดับองค์กรขนาดใหญ่ ข้อมูลดูเหมือนจะสะท้อนถึงกิจกรรม Authenticated Oracle Fusion REST Export ที่เชื่อมโยงกับข้อมูล Supplier, Invoice, Purchase Order, Payment Process และ Bank Account
ข้อมูลกลุ่มสุดท้ายระบุว่าเป็นของ Victim C ซึ่งเป็นแพลตฟอร์ม Payroll, HR และ Stablecoin Payments ขนาดกลาง ประกอบด้วยข้อมูลเกี่ยวกับ Payroll, Settlement, การเชื่อมต่อ Fireblocks และข้อมูลที่เกี่ยวข้องกับ HRIS โดยในทั้งสองกรณี (Victim B/C) ยังไม่ทราบช่องทางการเข้าถึงเริ่มต้นที่แน่ชัด
ผู้โจมตี
นอกเหนือจาก AI-Control Surface แล้ว Host ยังเก็บรักษาช่องทาง Alerting และคำสั่ง (Command) ของ Operator บน Telegram เอาไว้ สคริปต์ Runer ใน Bissa Scanner Harness มีการ Hardcoded บอท Token ของ Telegram ที่เชื่อมโยงกับบอท @bissapwned_bot (ชื่อ Display 'BissaPwned', Bot User ID 8798206332) พร้อมกับ Chat ID ปลายทาง 1609309278 การตรวจสอบ Metadata ผ่าน Telegram API ยืนยันว่าบอทยังคงใช้งานอยู่ ปลายทางนั้นระบุว่าเป็น Private Chat ที่มีผู้เข้าร่วมเพียงสองคน คือบอท และ Human Operator เพียงคนเดียว ซึ่งมีตัวตนสาธารณะบน Telegram คือ @BonJoviGoesHard (User ID 1609309278) พร้อมชื่อ Display 'Dr. Tube' บอทนี้มีความสอดคล้องกับแบรนด์ส่วนอื่น ๆ ของปฏิบัติการ (BissaScanner, Bissa_Bench, BissaProMax, BissaPwned) โดยดูเหมือนจะแยกจาก @bissa_scan_bot ที่อ้างถึงใน OpenClaw Logs ซึ่งบ่งชี้ว่า Operator ใช้งานบอทอย่างน้อยสองตัวในส่วนของ Scanner และ AI-Control Subsystems
ข้อความแต่ละข้อความจาก @bissapwned_bot จะมี Identity Header (Message ID, Date, From User ID: 8798206332, From Username: bissapwned_bot) และถูกส่งไปยัง Operator Chat 1609309278 เพื่อเป็นช่องทาง Telegram C2 Notification สำหรับ Scanner Fleet เนื้อหาในข้อความจะเป็นสรุปการพบ CVE-2025-55182 ที่ได้รับการยืนยันหนึ่งรายการต่อหนึ่งบรรทัด โดยโครงสร้างจะเป็นฟิลด์ที่คั่นด้วย Emoji แต่ละบรรทัดจะสรุปข้อมูลตัวตนของเหยื่อ, Runtime Context, Privilege Level, Cloud Posture และ Recoverable Secret Surface ให้เป็นบันทึกเดียวที่เข้าใจง่าย ช่วยให้ Operator สามารถคัดแยกเหตุการณ์ Exploitation หลายร้อยรายการได้โดยตรงผ่าน Telegram
ความสามารถ
Bissa Scanner
บันทึก Claude Project Transcripts ภายใต้โปรเจกต์ /bissascanner/ แสดงให้เห็นว่า Operator ใช้ Claude Code เพื่ออ่าน Scanner Codebase, ทำความเข้าใจ Lease และ Acknowledgement Flow, แก้ไขปัญหา (Troubleshoot) ในกรณีที่ทำงานไม่สำเร็จ, ตรวจสอบ Benchmark Output และจัดทำเอกสารโปรเจกต์ได้ดีพอที่จะสร้างส่วนของ Acquisition Layer ขึ้นมาใหม่
ผลลัพธ์ของโปรเจกต์รวมถึง Chain-of-Thought (CoT) Prompts ที่แสดงให้เห็นว่า Claude กำลังประเมิน และวางแผนปรับปรุงตัว Scanner
OpenClaw Logs แสดงให้เห็น Local AI-Control Surface บนเครื่องเดียวกัน ซึ่งรวมถึง Websocket Gateway, Browser Control, การตั้งค่า Model Pool/Claude-Sonnet-4-6 และ Telegram-Linked Provider Handle @bissa_scan_bot เมื่อรวมกับ claude_env_fix.sh และ Local AI Relay Databases หลักฐานเหล่านี้แสดงให้เห็นว่า Claude และ OpenClaw เป็นส่วนหนึ่งของ Working Environment ที่ใช้ในการดำเนินงาน, แก้ไขปัญหา และขยายขอบเขตของ Collection Workflow
หนึ่งในการค้นพบที่น่าสนใจที่สุดคือ Next.js React2Shell (CVE-2025-55182) Exploitation Workflow ที่สร้างขึ้นรอบ ๆ Bissa Scanner ซึ่งประกอบด้วยส่วนประกอบดังนี้:
Scanner ใช้ไฟล์ Acquirer ที่ระบุเป้าหมาย และไฟล์ Lease ที่กำหนด Exploit Type ไฟล์เหล่านี้แสดงให้เห็นว่า Operator ได้รับ Target Feeds จาก ZIP Archives ที่โฮสต์อยู่บน cs2[.]ip[.]thc[.]org โดยกำหนดโมดูล cve_2025_55182 และติดตั้ง Payload ที่ตั้งใจจะรวบรวมไฟล์ .env, Cloud Metadata, Kubernetes Service Account Context, Local Credential Stores, Database และ Redis Access, ข้อมูล Cryptocurrency Wallet และ Secrets ที่มีมูลค่าสูงอื่น ๆ ไฟล์ชื่อ “Confirmed Hits” ระบุว่ามีบริษัทมากกว่า 900 แห่งที่ถูก Exploit ผ่าน Workflow นี้
ในระหว่างการตรวจสอบพบว่า Acquirer ถูกโฮสต์อยู่ที่ denemekulubum[.]com[.]tr/acquirer/ ในขณะที่ Acquirer รุ่นเก่าที่ไม่ใช้งานแล้วเคยถูกโฮสต์อยู่ที่ wiprz[.]com/acquirer/
Scanner ยังรวมโมดูล WordPress เฉพาะที่มุ่งเป้าไปที่ CVE-2025-9501 ซึ่งเป็น Unauthenticated Command Injection ในปลั๊กอิน W3 Total Cache (เวอร์ชันก่อน 2.8.13, CVSS 9.0) โดยโมดูลที่กู้คืนได้นั้นมีเพียงการตรวจสอบเวอร์ชันเท่านั้น ตัว RCE Payload ยังไม่ปรากฏให้เห็น และไม่พบหลักฐานการ Exploit ที่ประสบความสำเร็จผ่านโมดูลนี้
Data Exfiltration via S3
Operator ใช้ Filebase ที่รองรับ S3 เป็น Off-Box Archive สำหรับไฟล์ .env ของเหยื่อที่รวบรวมมาได้ โดย Scanner ถูกกำหนดค่าให้เฝ้าดู Directory results/ ภายในเครื่อง เพื่อรวบรวมไฟล์ *.env เข้าเป็นไฟล์ ZIP และอัปโหลดไปยัง hxxps://s3.filebase[.]com ใน Bucket ชื่อ bissapromax ภายใต้ Prefix archives/
ประวัติของ Filebase Bucket แสดงให้เห็นถึงขั้นตอนการจัดเก็บอย่างน้อยสามระยะ: bissa ในเดือนกันยายน 2025, bissa2 ในเดือนพฤศจิกายน 2025 และ bissapromax ตั้งแต่เดือนธันวาคม 2025 เป็นต้นไป ในบรรดาชื่อเหล่านี้ มีเพียง bissapromax ที่มีเนื้อหา Archive ที่สามารถกู้คืนได้ ซึ่งเชื่อมโยงโดยตรงกับ .env Collection Workflow ขนาดใหญ่ที่พบในเดือนเมษายน 2026
เนื้อหาทั้งหมดใน S3 Buckets ประกอบด้วย env-batch-*.zip Objects จำนวนมากกว่า 400 รายการ และชื่อไฟล์ .env ที่แตกต่างกันมากกว่า 30,000 ชื่อ ครอบคลุมตั้งแต่วันที่ 10 เมษายน 2026 ถึง 21 เมษายน 2026 จากไฟล์ ZIP เหล่านั้น สามารถนับจำนวนรายการไฟล์ได้มากกว่า 65,000 รายการ ซึ่งแสดงให้เห็นว่าไฟล์ของเหยื่อรายเดิมถูกนำมารวมกลุ่มใหม่ และอัปโหลดซ้ำเมื่อเวลาผ่านไป แทนที่จะถูกจัดเก็บเพียงครั้งเดียว
คำแนะนำด้านการป้องกัน
- ทำการ Patch อย่างเร่งด่วน: อัปเดตแอปพลิเคชัน และ Framework ที่เชื่อมต่อกับอินเทอร์เน็ตทันที และติดตามข่าวสารจาก Vendor Advisories เพื่อป้องกันไม่ให้เกิดเหตุการณ์การโจมตี
- ดูแล Secrets ให้ปลอดภัย: ย้าย Production Credentials ออกจากไฟล์ .env ไปอยู่ในระบบ Secret Manager โดยใช้วิธี Inject ในช่วง Runtime, กำหนดอายุการใช้งานให้สั้น และจำกัดสิทธิ์ของทุก Credential ให้เข้าถึงได้เท่าที่จำเป็นที่สุดเท่านั้น (Least Privilege)
- ลดขอบเขตความเสียหาย: สมมติไว้ก่อนว่าระบบอาจถูกเจาะได้ ให้ใช้ Workload Identity แทน Long-Lived Keys, เสริมความแข็งแกร่งในการเข้าถึง Cloud Metadata, เข้มงวดในการใช้งาน RBAC, ปิดการใช้งานบัญชี Service Account Token ที่ไม่ได้ใช้ และไม่เชื่อมต่อ Container Runtime Socket เข้ากับ Application Workloads
- ควบคุม Egress Traffic: กำหนดเส้นทาง Outbound Traffic จากแอปพลิเคชันผ่าน Logged Proxy เพื่อให้ Host ที่ถูก Compromise ไม่สามารถติดต่อสื่อสารกับ Cloud Metadata, Payment APIs หรือโครงสร้างพื้นฐานของผู้โจมตีได้โดยไม่ถูกตรวจพบ
- ทำการ Rotate และตรวจจับ: Rotate Credentials ตามกำหนดเวลา, สแกน Source Code และ Artifacts เพื่อหา Secrets ที่อาจหลุดออกไป และติดตั้ง Canary Tokens เพื่อแจ้งเตือนทันทีที่มีการนำไปใช้งาน
- ซ้อมการตอบสนอง: ตรวจสอบว่า Credentials ใดสามารถ Rotate ได้รวดเร็วภายในไม่กี่นาที และข้อมูลติดต่อ Vendor เป็นปัจจุบันอยู่เสมอ พร้อมทั้งจัดการฝึกซ้อมแบบ Tabletop ในหัวข้อ “Live Production Key Leaked” เป็นประจำทุกปี
ที่มา : thedfirreport
You must be logged in to post a comment.