0328-新型僵尸网络感染全球88个国家/地区-主流AI算力框架漏洞威胁全球数千大模型-印度国防部等机构被黑客打穿
0328-新型僵尸网络感染全球88个国家/地区-主流AI算力框架漏洞威胁全球数千大模型-印度国防部等机构被黑客打穿
网络盾牌 网络盾牌 2024-03-28 16:21
点击上方蓝色文字关注我们
今日全球网安资讯摘要****
特别关注
新型僵尸网络感染全球88个国家/地区,超6千台华硕路由器遭攻击
主流AI算力框架漏洞威胁全球数千大模型
印度国防部等机构被黑客打穿,泄露 8.8GB 数据
特别关注
新型僵尸网络感染全球88个国家/地区,
超6千台华硕路由器遭攻击
标签:僵尸网络
“TheMoon”恶意软件的最新活动在一周内感染了近 7,000 台设备,Black Lotus Labs 表示它们主要针对华硕路由器。
研究发现“TheMoon”恶意软件僵尸网络的新变种感染了
88 个国家/地区数千个小型办公室和家庭办公室 (SOHO) 路由器和物联网设备。
TheMoon 与“Faceless”代理服务相关联,该服务使用一些受感染的设备作为代理,为希望匿名其恶意活动的网络犯罪分子路由流量。
Black Lotus Labs 研究人员对 2024 年 3 月上旬开始的最新 TheMoon 活动进行监控,
发现 72 小时内有 6,000 台华硕路由器成为攻击目标。
威胁分析师报告称,IcedID 和 SolarMarker 等恶意软件操作目前使用代理僵尸网络来混淆其在线活动。
Faceless 代理服务概述
针对华硕路由器
TheMoon 首次被发现 于 2014 年,当时研究人员警告称,该恶意软件正在利用漏洞感染 LinkSys 设备。
该恶意软件的最新活动在一周内感染了近 7,000 台设备,
Black Lotus Labs 表示它们主要针对华硕路由器。
Black Lotus 警告称:“通过 Lumen 的全球网络可见性,Black Lotus Labs 已经确定了 Faceless 代理服务的逻辑图,其中包括一项于 2024 年 3 月第一周开始的活动,该活动在不到 72 小时内针对 6,000 多个华硕路由器进行了攻击”实验室研究人员。
研究人员没有具体说明用于破坏华硕路由器的确切方法,但鉴于目标设备型号已停产,
攻击者很可能利用了固件中的已知漏洞。
攻击者还可能暴力破解管理员密码或测试默认和弱凭据。
一旦恶意软件获得对设备的访问权限,它就会检查是否存在特定的 shell 环境(“/bin/bash”、“/bin/ash”或“/bin/sh”);否则,它会停止执行。
如果检测到兼容的 shell,加载程序会解密、删除并执行名为“.nttpd”的有效负载,该有效负载会创建一个具有版本号(当前为 26)的 PID 文件。
随后,恶意软件设置 iptables 规则以丢弃端口 8080 和 80 上的传入 TCP 流量,同时允许来自特定 IP 范围的流量。这种策略可以保护受感染的设备免受外部干扰。
接下来,恶意软件会尝试联系合法 NTP 服务器列表,以检测沙箱环境并验证互联网连接。
最后,恶意软件通过循环访问一组硬编码的 IP 地址来与命令和控制 (C2) 服务器连接,C2 会用指令进行响应。
在某些情况下,C2 可能会指示恶意软件检索其他组件,例如扫描端口 80 和 8080 上易受攻击的 Web 服务器的蠕虫模块或代理受感染设备上流量的“.sox”文件。
Sox 与 Faceless 服务器通信的样本
Faceless 代理服务
Faceless 是一项网络犯罪代理服务,可通过受感染的设备为仅使用加密货币付款的客户路由网络流量。该服务不使用“了解您的客户”验证流程,任何人都可以使用。
购买 Faceless 代理服务的访问权限
为了保护他们的基础设施不被研究人员绘制地图,Faceless 操作员确保每台受感染的设备在感染持续期间仅与一台服务器通信。
Black Lotus Labs 报告称,三分之一的感染会持续 50 天以上,而 15% 的感染会在 48 小时内消失。这表明后者受到更好的监控,并且可以快速检测到危害。
受感染设备的生命周期
尽管 TheMoon 和 Faceless 之间存在明显的联系,但这两个操作似乎是独立的网络犯罪生态系统,因为并非所有恶意软件感染都成为 Faceless 代理僵尸网络的一部分。
为了防御这些僵尸网络,
请使用强管理员密码并将设备的固件升级到解决已知缺陷的最新版本。如果设备已达到 EoL,请将其替换为有效支持的型号。
路由器和物联网上恶意软件感染的常见迹象包括连接问题、过热和可疑的设置更改。
信源:
本文来自E安全,版权归作者所有。****
安全资讯
主流AI算力框架漏洞威胁全球数千大模型
标签:漏洞威胁
近日,知名网络安全公司Oligo Security发现人工智能行业主流算力框架Ray的一个未修复安全漏洞正被黑客野外大规模利用,攻击AI工作负载并窃取敏感(生产)数据和算力。
包括亚马逊、字节跳动、Uber、OpenAI等数以千计的人工智能企业受到影响,数百个集群已经遭到攻击,超过10亿美元算力遭到“劫持”。
主流算力框架遭遇七个月野外攻击
像ChatGPT和GPT-4,以及国内的月之暗面(Kimi)等超大模型已经展示了惊人的内容生成能力和扩展能力,而支持这些模型“野蛮生长”的基础技术除了数以万计的高端GPU算力卡,还包括管理和编排这样大规模GPU集群来提供足够并行计算能力的AI算力框架,其中最流行也最重要的,非Ray框架莫属。
Ray是由Berkeley加州大学计算机教授Ion Stoica创办的Anyscale公司开发的开创性分布式AI框架,被数以千计运行AI基础设施的公司采用。包括OpenAI、亚马逊、Shopify、Uber、字节跳动在内的数以千计的公司使用Ray框架支持ChatGPT这样动辄超过千亿参数的超大模型训练所需要的大规模底层基础算力资源优化和调度。
此外,很多主流大模型项目还依赖Ray来支持SaaS、数据和AI工作负载,充分利用Ray的高可扩展性、速度和效率优势。
根据Oligo Security的报告,Ray框架曝出的漏洞编号为CVE-2023-48022,在过去7个月中一直被积极利用,涉及教育、加密货币、生物制药等多个行业。所有使用Ray框架的企业和机构都应检查其基础设施环境,确保没有漏洞暴露,并分析任何可疑活动。
AI算力基础设施漏洞野外利用第一案
2023年底,AI工作负载主流开源框架Ray曝出五个漏洞,这些漏洞由Bishop Fox、BryceBearchell和Protect AI团队分别披露(部分同时披露)。漏洞披露后,Ray的开发者和维护者Anyscale发布了一篇博文进行回应,澄清事件始末并详细介绍了每个漏洞的修复方案。
虽然报告的五个漏洞中有四个已经在Ray 2.8.1版本中得到修复,但CVE-2023-48022漏洞仍存在争议。Anyscale并未将其视为安全风险,因此没有提供即时修复方案。
由于存在争议,许多开发团队(以及大多数静态扫描工具)都没有意识到CVE-2023-48022的潜在危害。一些团队可能错过了Ray的相关文档,另一些则根本不知道此漏洞的存在。
OligoSecurity的研究人员观察到,CVE-2023-48022漏洞正被积极利用,这使得原本争议的漏洞变成了“影子漏洞”——此类漏洞不会在静态扫描中显现,却能导致安全漏洞和重大损失。
Oligo的研究团队将此漏洞命名为ShadowRay,是首个已知人工智能基础设施漏洞被用于攻击人工智能工作负载的案例。
研究发现,全球范围内已有数千台部署在公共网络上的Ray服务器因该漏洞被攻陷,有些服务器甚至已经沦陷至少7个月。其中许多服务器包含了历史命令记录,这使得攻击者更容易理解服务器上的内容,并可能泄露生产环境中之前使用过的敏感机密信息。
受Ray漏洞影响,数百家公司已经暴露于远程代码执行(RCE)风险之中,其中一些公司至今仍未修复漏洞。(文末链接的报告提供了完整的IoCs列表)。
AI算力基础设施损失超10亿美元
截至目前,Oligo已发现数百个受感染的AI算力集群。每个集群由许多节点组成,这些节点是通过网络连接到集群的机器。大多数节点都有GPU,攻击者通过安装不同类型的挖矿软件利用GPU进行加密货币挖矿活动。
换而言之,攻击者选择攻击AI算力集群不仅是因为他们可以获得有价值的敏感信息,而且因为当前GPU算力资源非常昂贵且难以获得。
GPU机器的按需价格主要取决于GPU类型和内存。截至发稿,AWS上的GPU按需价格每台机器的年成本可高达85.8万美元。
根据Oligo过去几周的监测,可能已遭到攻击的机器和算力总估值近10亿美元。
信源: https://www.oligo.security/blog/shadowray-attack-ai-workloads-actively-exploited-in-the-wild
印度国防部等机构被黑客打穿,泄露 8.8GB 数据
标签:数据泄露
昨天(3月27日),EclecticIQ 研究人员发布了一份报告称:黑客攻击了印度政府和能源公司,目的是传播一种名为 HackBrowserData 的开源信息窃取恶意软件。该软件能够在某些情况下利用 Slack 作为命令与控制(C2)泄露敏感信息。据调查,这个信息窃取程序是通过伪装成印度空军邀请函的钓鱼邮件发送的。攻击者利用 Slack 作为外渗点,在恶意软件执行后上传机密内部文档、私人电子邮件信息和缓存的网络浏览器数据。今年 3 月 7 日,荷兰网络安全公司首次注意到这个攻击活动,该活动代号为 “FlightNight 行动”。其攻击的目标涉及印度多个政府机构,包括与电子通信、IT 管理和国防相关的多个组织。据悉,黑客已经成功入侵了私营能源公司,并获取了财务文件、员工个人资料以及石油和天然气钻探活动的详细信息,攻击行动导致约 8.81 GB 的数据被泄露。攻击链从包含 ISO 文件(”invite.iso”)的钓鱼邮件开始,该文件又包含一个 Windows 快捷方式(LNK),可触发执行安装在光盘镜像中的隐藏二进制文件(”scholar.exe”)。恶意软件还会给受害者发一个虚假的印度空军邀请函 PDF 文件,并通过 PDF 获取文档和缓存的网络浏览器数据,然后将这些信息和数据传输到一个由行为者控制的名为 FlightNight 的 Slack 频道。该恶意软件是 HackBrowserData 的修订版,它不仅具有浏览器数据盗窃功能,还具有虹吸文档(Microsoft Office、PDF 和 SQL 数据库文件)、通过 Slack 通信以及使用混淆技术更好地躲避检测的功能。研究人员称,黑客很可能在之前的一次入侵行动中窃取了诱饵 PDF,其行为相似性可追溯到针对印度空军的网络钓鱼活动,当时他们曾使用了一种名为 GoStealer 的基于 Go 的窃取程序。今年 1 月中旬,一位化名为 xelemental(@ElementalX2)的印度安全研究人员披露了活动细节。GoStealer 的感染序列与 FlightNight 几乎完全相同,都是利用以采购为主题的诱饵(”SU-30 飞机采购.iso”)来显示诱饵文件,同时部署窃取程序有效载荷,再通过 Slack 泄露信息。通过改编免费提供的攻击工具,并重新利用企业环境中普遍存在的 Slack 等合法基础设施,威胁行为者可以有效地减少时间和开发成本。这意味着黑客能够更加轻松地发起有针对性的攻击,甚至一些技术水平一般般的初网络犯罪分子也能利用这种方法快速实施攻击,这极易给企业带来巨大的经济损失。Büyükkaya认为:’FlightNight行动’和’GoStealer行动’进一步透露了黑客如何更简而有效地利用开源工具进行网络间谍活动。同时,这也凸显了网络威胁不断演变的态势。黑客已经开始学会广泛地使用开源攻击工具和平台,以最小的成本博取更大的利益。#
信源:https://www.freebuf.com/news/396179.html
资讯来自全球范围内媒体报道
版权归作者所有
文章内容仅代表作者独立观点
不代表网络盾牌立场
转载目的在于传递更多信息
如有侵权,请公众号后台联系
一键四连
