Oligo Security đã cảnh báo về các cuộc tấn công đang diễn ra, khai thác một lỗ hổng bảo mật đã tồn tại hai năm trong framework AI mã nguồn mở Ray để biến các cụm máy chủ bị nhiễm NVIDIA GPU thành một botnet đào tiền mã hóa tự nhân rộng.
Hoạt động này, được đặt tên mã là ShadowRay 2.0, là sự phát triển từ một đợt tấn công trước đó được quan sát từ tháng 9 năm 2023 đến tháng 3 năm 2024. Về bản chất cốt lõi, cuộc tấn công này khai thác một lỗi thiếu xác thực nghiêm trọng (CVE-2023-48022, CVSS score: 9.8) để kiểm soát các instance dễ bị tấn công và chiếm đoạt sức mạnh tính toán của chúng để đào tiền mã hóa trái phép bằng XMRig.
Lỗ hổng này vẫn chưa được vá do một "quyết định thiết kế lâu dài" phù hợp với các thực tiễn phát triển tốt nhất của Ray, yêu cầu nó phải chạy trong một mạng biệt lập và hoạt động dựa trên mã đáng tin cậy.
Chiến dịch này liên quan đến việc gửi các malicious jobs, với các lệnh từ reconnaissance đơn giản đến các Bash và Python payloads đa tầng phức tạp, tới một Ray Job Submission API ("/api/jobs/") không được xác thực trên các dashboard bị lộ. Các Ray clusters bị xâm nhập sau đó được sử dụng trong các cuộc tấn công spray and pray để phân phối payloads đến các Ray dashboard khác, tạo ra một worm có thể tự lây lan từ nạn nhân này sang nạn nhân khác.
Các cuộc tấn công được phát hiện đã tận dụng GitLab và GitHub để phân phối malware, sử dụng các tên như "ironern440-group" và "thisisforwork440-ops" để tạo các repository và lưu trữ các malicious payloads. Cả hai tài khoản này hiện không còn truy cập được. Tuy nhiên, các tội phạm mạng đã phản ứng với các nỗ lực gỡ bỏ bằng cách tạo một tài khoản GitHub mới, cho thấy sự kiên trì và khả năng nhanh chóng tiếp tục hoạt động của chúng.
Các payloads, đến lượt mình, tận dụng khả năng orchestration của nền tảng để pivot laterally sang các node không đối mặt với internet, lây lan malware, tạo reverse shells đến hạ tầng do attacker kiểm soát để điều khiển từ xa, và thiết lập persistence bằng cách chạy một cron job cứ sau 15 phút sẽ kéo phiên bản mới nhất của malware từ GitLab để re-infect các host.
Các threat actors "đã biến các tính năng orchestration hợp pháp của Ray thành công cụ cho một hoạt động cryptojacking toàn cầu, tự lây lan, tự động lan rộng trên các Ray clusters bị lộ," các nhà nghiên cứu Avi Lumelsky và Gal Elbaz cho biết.
Chiến dịch này có thể đã sử dụng các large language models (LLMs) để tạo ra các GitLab payloads. Đánh giá này dựa trên "cấu trúc, comments và error handling patterns" của malware.
Chuỗi lây nhiễm bao gồm một kiểm tra rõ ràng để xác định xem nạn nhân có ở Trung Quốc hay không, và nếu có, sẽ cung cấp một phiên bản malware dành riêng cho khu vực đó. Nó cũng được thiết kế để loại bỏ đối thủ cạnh tranh bằng cách quét các running processes để tìm các cryptocurrency miners khác và chấm dứt chúng – một chiến thuật được các cryptojacking groups áp dụng rộng rãi để tối đa hóa lợi nhuận đào tiền từ host.
Một khía cạnh đáng chú ý khác của các cuộc tấn công là việc sử dụng nhiều chiến thuật khác nhau để hoạt động "dưới radar", bao gồm ngụy trang các malicious processes thành các dịch vụ Linux kernel worker hợp pháp và giới hạn CPU usage khoảng 60%. Người ta tin rằng chiến dịch này có thể đã hoạt động từ tháng 9 năm 2024.
Mặc dù Ray được thiết kế để triển khai trong một "controlled network environment", các phát hiện cho thấy người dùng đang để lộ các Ray servers ra internet, mở ra một attack surface béo bở cho các bad actors và xác định các địa chỉ IP Ray dashboard nào có thể bị khai thác bằng công cụ phát hiện lỗ hổng mã nguồn mở interact.sh. Hơn 230.500 Ray servers đang có thể truy cập công khai.
Anyscale, nhà phát triển ban đầu của Ray, đã phát hành một công cụ "Ray Open Ports Checker" để xác thực cấu hình phù hợp của các clusters nhằm ngăn chặn việc lộ thông tin ngẫu nhiên. Các chiến lược mitigation khác bao gồm cấu hình firewall rules để giới hạn quyền truy cập trái phép và thêm authorization trên Ray Dashboard port (mặc định là 8265).
"Attacker đã triển khai sockstress, một công cụ TCP state exhaustion, nhắm mục tiêu vào các production websites. Điều này cho thấy các Ray clusters bị xâm nhập đang bị vũ khí hóa cho các cuộc tấn công denial-of-service, có thể chống lại các mining pools cạnh tranh hoặc hạ tầng khác," Oligo cho biết.
"Điều này biến hoạt động từ một cuộc cryptojacking thuần túy thành một botnet đa mục đích. Khả năng phát động các cuộc tấn công DDoS bổ sung một phương thức kiếm tiền khác – attacker có thể cho thuê khả năng DDoS hoặc sử dụng nó để loại bỏ đối thủ cạnh tranh. Port mục tiêu 3333 thường được sử dụng bởi các mining pools, cho thấy các cuộc tấn công chống lại hạ tầng đào tiền của đối thủ."
