Oligo Security ha experto sobre ataques en curso que aprovechan una falta de seguridad de dos abriles en el ámbito de inteligencia químico (IA) de código libre Ray para convertir clústeres infectados con GPU NVIDIA en una botnet de minería de criptomonedas autorreplicante.
La actividad, cuyo nombre en secreto ShadowRay 2.0es una desarrollo de una ola mencionado que se observó entre septiembre de 2023 y marzo de 2024. El ataque, en esencia, explota un error crítico de autenticación faltante (CVE-2023-48022, puntuación CVSS: 9,8) para tomar el control de instancias susceptibles y secuestrar su potencia informática para la minería ilícita de criptomonedas utilizando XMRig.
La vulnerabilidad no ha sido corregida oportuno a una “valentía de diseño de larga data” que es consistente con las mejores prácticas de incremento de Ray, que requiere que se ejecute en una red aislada y actúe según un código confiable.
La campaña implica el expedición de trabajos maliciosos, con comandos que van desde un simple examen hasta complejas cargas avíos de Bash y Python de varias etapas, hasta una API de expedición de trabajos Ray no autenticada (“/api/jobs/”) en paneles de control expuestos. Los clústeres de Ray comprometidos se utilizan luego en ataques de pulverización y oración para distribuir las cargas avíos a otros paneles de Ray, creando un rata que esencialmente puede propagarse de una víctima a otra.
Se ha descubierto que los ataques aprovechan GitLab y GitHub para distribuir el malware, utilizando nombres como “ironern440-group” y “thisisforwork440-ops” para crear repositorios y esconder las cargas maliciosas. Ya no se puede entrar a ambas cuentas. Sin secuestro, los ciberdelincuentes respondieron a los esfuerzos de asesinato creando una nueva cuenta de GitHub, lo que ilustra su tenacidad y capacidad para reanudar rápidamente las operaciones.
Las cargas avíos, a su vez, aprovechan las capacidades de orquestación de la plataforma para pivotar lateralmente en torno a nodos que no están conectados a Internet, propagar el malware, crear shells inversos para la infraestructura controlada por el atacante para control remoto y establecer persistencia ejecutando un trabajo cron cada 15 minutos que extrae la última lectura del malware de GitLab para retornar a infectar los hosts.
Los actores de amenazas “han convertido las funciones de orquestación legítimas de Ray en herramientas para una operación de criptojacking total y autopropagante, que se propaga de forma autónoma a través de grupos de Ray expuestos”, dijeron los investigadores Avi Lumelsky y Gal Elbaz.
Es probable que la campaña haya utilizado modelos de idioma grandes (LLM) para crear las cargas avíos de GitLab. Esta evaluación se podio en la “estructura, los comentarios y los patrones de manejo de errores” del malware.
La dependencia de infección implica una demostración explícita para determinar si la víctima se encuentra en China y, de ser así, sirve una lectura del malware específica de la región. Igualmente está diseñado para eliminar la competencia escaneando procesos en ejecución en rastreo de otros mineros de criptomonedas y finalizándolos, una táctica ampliamente adoptada por los grupos de criptojacking para maximizar las ganancias mineras del host.
Otro aspecto trascendental de los ataques es el uso de varias tácticas para acaecer desapercibido, incluido disfrazar procesos maliciosos como servicios legítimos de trabajo del kernel de Linux y confinar el uso de la CPU a rodeando del 60%. Se cree que la campaña puede favor estado activa desde septiembre de 2024.
Si perfectamente Ray está destinado a ser implementado interiormente de un “entorno de red controlado”, los hallazgos muestran que los usuarios están exponiendo los servidores de Ray a Internet, abriendo una superficie de ataque lucrativa para los malos actores e identificando qué direcciones IP del panel de Ray son explotables utilizando la utensilio de detección de vulnerabilidades de código libre interact.sh. Más de 230.500 servidores Ray son de paso divulgado.
Anyscale, que desarrolló originalmente Ray, lanzó una utensilio “Ray Open Ports Checker” para validar la configuración adecuada de los clústeres para evitar la exposición accidental. Otras estrategias de mitigación incluyen la configuración de reglas de firewall para confinar el paso no competente y amplificar autorización en la parte superior del puerto Ray Dashboard (8265 de forma predeterminada).
“Los atacantes implementaron calcetines, una utensilio de agotamiento del estado de TCP, apuntando a sitios web de producción. Esto sugiere que los clústeres de Ray comprometidos están siendo utilizados como armamento para ataques de denegación de servicio, posiblemente contra grupos mineros competidores u otra infraestructura”, dijo Oligo.
“Esto transforma la operación de puro cryptojacking a una botnet multipropósito. La capacidad de propalar ataques DDoS agrega otro vector de monetización: los atacantes pueden traspasar capacidad DDoS o usarla para eliminar la competencia. El puerto objetivo 3333 es comúnmente utilizado por los grupos de minería, lo que sugiere ataques contra infraestructura minera rival”.
