Společnost Oligo Security varovala před probíhajícími útoky, které zneužívají dva roky starou bezpečnostní chybu v open-source frameworku Ray pro umělou inteligenci (AI), aby proměnily infikované clustery s GPU NVIDIA v samoreplikující se botnet pro těžbu kryptoměn.
Aktivita s kódovým označením ShadowRay 2.0 představuje evoluci předchozí vlny, která byla pozorována mezi zářím 2023 a březnem 2024. Útok ve své podstatě zneužívá kritickou chybu chybějícího ověřování (CVE-2023-48022, CVSS skóre: 9,8) k převzetí kontroly nad zranitelnými instancemi a zneužití jejich výpočetního výkonu pro nelegální těžbu kryptoměn pomocí XMRig.
Zranitelnost zůstává neopravená kvůli „dlouhodobému rozhodnutí o designu“, které je v souladu s osvědčenými postupy vývoje Ray, které vyžadují, aby byl spouštěn v izolované síti a pracoval pouze s důvěryhodným kódem.
Kampaň zahrnuje odesílání škodlivých úloh s příkazy od jednoduchého průzkumu až po složité vícestupňové Bash a Python payloady do neověřeného Ray Job Submission API („/api/jobs/“) na exponovaných dashboardech. Kompromitované Ray clustery jsou poté použity v útocích typu spray and pray k distribuci payloadů na další Ray dashboardy, čímž vzniká červ, který se může v podstatě šířit z jedné oběti na druhou.
Bylo zjištěno, že útoky využívají GitLab a GitHub k doručování malwaru, používají jména jako „ironern440-group“ a „thisisforwork440-ops“ k vytváření repozitářů a ukládání škodlivých payloadů. Oba účty již nejsou přístupné. Kyberzločinci však reagovali na snahy o odstranění vytvořením nového účtu na GitHubu, což ilustruje jejich vytrvalost a schopnost rychle obnovit operace.
Payloady zase využívají orchestrační schopnosti platformy k laterálnímu pohybu na uzly nepřístupné z internetu, šíření malwaru, vytváření reverzních shellů do infrastruktury kontrolované útočníky pro vzdálené ovládání a zajištění persistence spuštěním cron jobu každých 15 minut, který stahuje nejnovější verzi malwaru z GitLabu a znovu infikuje hostitele.
Kampaň pravděpodobně využila velké jazykové modely (LLM) k vytvoření GitLab payloadů. Toto hodnocení je založeno na „struktuře, komentářích a vzorcích zpracování chyb“ malwaru.
Infekční řetězec zahrnuje explicitní kontrolu, zda se oběť nachází v Číně, a pokud ano, doručí regionálně specifickou verzi malwaru. Je také navržen tak, aby eliminoval konkurenci skenováním běžících procesů pro další kryptominery a jejich ukončením – taktika široce přijímaná kryptojackingovými skupinami k maximalizaci zisků z těžby na hostiteli.
Dalším pozoruhodným aspektem útoků je použití různých taktik k utajení, včetně maskování škodlivých procesů jako legitimních služeb Linux kernel worker a omezení využití CPU na přibližně 60 %. Předpokládá se, že kampaň mohla být aktivní již od září 2024.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
