Aggregator

一场名为“ShadowRay 2.0”的全球攻击活动正利用一处旧版代码执行漏洞，劫持暴露在公网的Ray集群，将其改造为具备自传播能力的加密货币挖矿僵尸网络。

Ray是由Anyscale开发的开源框架，可在以“集群”或“头节点”形式组织的分布式计算生态中，助力构建和扩展人工智能（AI）及Python应用。

据研究人员介绍，他们追踪的威胁者“IronErn440”正使用AI生成的载荷，攻击公网可访问的易受攻击Ray基础设施。研究人员指出，此类恶意活动不仅限于加密货币挖矿，部分情况下还涉及数据与凭证窃取，以及发起分布式拒绝服务（DDoS）攻击。

新攻击活动，旧（未修复）漏洞

“ShadowRay 2.0”是此前另一轮“ShadowRay”攻击活动的延续——该活动由Oligo曝光，活跃于2023年9月至2024年3月期间。

Oligo研究人员发现，两轮攻击均利用了编号为CVE-2023-48022的旧版高危漏洞。这一安全问题尚未推出修复补丁，原因是Ray的设计初衷是运行在“严格受控的网络环境”这类可信环境中。

但研究人员表示，目前公网可访问的Ray服务器已超23万台，较“首次发现ShadowRay活动时观测到的数千台”出现大幅激增。

Oligo在今日发布的报告中提到，已监测到两轮攻击浪潮：一轮通过滥用GitLab分发载荷，于11月5日终止；另一轮则滥用GitHub，自11月17日起持续至今。

恶意的 GitHub 仓库

载荷功能解析

Oligo指出，攻击中使用的载荷由大语言模型生成。这一结论基于对代码结构、现有注释及错误处理模式的分析得出。

例如，研究人员在对某一载荷进行反混淆后发现，其包含“文档字符串和无意义回显语句，这强烈表明代码由LLM生成”。

有效负载的一部分

攻击者利用CVE-2023-48022漏洞，向Ray未授权的Jobs API提交任务，运行多阶段Bash与Python载荷，并借助平台的编排能力在所有节点部署恶意软件，实现集群间的自主传播。

其中的加密货币挖矿模块似乎同样由AI生成，会检测可用的CPU、GPU资源及访问权限类型。研究人员在载荷代码中发现，攻击者偏好“至少8核且具备root权限”的系统，并将此类系统称为“a very good boy”（意为“非常理想的目标”）。

该模块使用XMRig软件挖掘门罗币（Monero），且仅占用60%的处理能力，以规避即时检测。

Oligo发现，挖矿程序被植入具有迷惑性的文件路径，并使用“dns-filter”等伪造进程名掩盖活动痕迹；同时通过定时任务和修改systemd配置实现持久化驻留。

另一处有趣的发现是：攻击者会确保自己是唯一利用被劫持Ray集群挖矿的主体——他们会终止其他竞争对手的挖矿脚本，并通过修改/etc/hosts文件和iptables规则屏蔽其他矿池。

矿工配置

除加密货币挖矿外，该恶意软件还会向攻击者基础设施开启多个Python反向shell，以实现交互式控制，进而获取并窃取工作负载环境数据、MySQL数据库凭证、专有AI模型及集群中存储的源代码。

此外，它还可利用Sockstress工具发起DDoS攻击——该工具通过原始套接字建立大量TCP连接，利用“非对称资源消耗”的原理瘫痪目标。

从攻击者创建的定时任务来看，Oligo发现有一个脚本每15分钟执行一次，用于检查GitHub仓库中是否存在更新后的载荷。

设置持久化机制

“ShadowRay 2.0”防御建议

由于CVE-2023-48022漏洞目前尚无修复补丁，建议Ray用户在部署集群时遵循厂商推荐的“最佳实践”。

在首次“ShadowRay”攻击活动被曝光后，Anyscale已就该问题发布更新说明，列出多项建议，其中包括“将Ray部署在安全可信的环境中”。同时，应通过防火墙规则和安全组策略保护集群，防止未授权访问。

安全研究人员还建议在Ray控制台端口（默认8265）基础上增加授权验证，并对AI集群实施持续监控，以识别异常活动。

Wscan is a web security scanner that focuses on WEB security. It pays homage to Nmap, which has

The post Wscan: New Open-Source Web Scanner Uses ML for Automated, Personalized Penetration Testing appeared first on Penetration Testing Tools.

An updated patch set for the GRUB2 bootloader has been released publicly, addressing six vulnerabilities at once, most

The post URGENT Patch: GRUB2 Flaws Allow Secure Boot Bypass via Use-After-Free Exploits appeared first on Penetration Testing Tools.

The United Kingdom’s National Crime Agency has announced that it has dismantled an intricate financial network used by

The post UK Dismantles Financial Network Bankrolling Jan Marsalek’s Spy Ring via Crypto appeared first on Penetration Testing Tools.

Hackers gained access on 10 November to Princeton University’s database, which contained the personal information of individuals connected

The post Princeton, Harvard Hacked: AI-Augmented Attacks Fuel Surge in University Breaches appeared first on Penetration Testing Tools.

Israel’s NSO Group is attempting to overturn a ruling by a California federal court that ordered the company

The post NSO Group Appeals Pegasus Spyware Ban, Claims Ruling Threatens Company Closure appeared first on Penetration Testing Tools.

Microsoft has released the out-of-band cumulative update KB5072753 to correct a known issue in which the November hotfix

The post Microsoft Releases Emergency Hotfix KB5072753 to Stop Windows 11 Update Loop appeared first on Penetration Testing Tools.

Nvidia has confirmed that the October security updates for Windows 11 24H2 and Windows 11 25H2 have led

The post NVIDIA Hotfix 581.94 Released to Fix Windows 11 Update Game Performance Drops appeared first on Penetration Testing Tools.

Specialists from Group-IB have released an in-depth analysis of the long-running UNC2891 campaign, which demonstrates how inventive modern

The post UNC2891: Raspberry Pi, Custom Rootkit CAKETAP Fuel Sophisticated ATM Fraud Campaign appeared first on Penetration Testing Tools.