Το NadMesh αξιοποιεί το Shodan για να ελέγξει εκτεθειμένες υποδομές AI

Η ασφάλεια στον κυβερνοχώρο έχει μπει σε μια νέα εποχή με την εμφάνιση του NadMesh, ενός επικίνδυνου που συνδυάζει καινοτόμες τεχνικές εκμετάλλευσης. Αλλά πώς επηρεάζει την υποδομή τεχνητής νοημοσύνης και τη βιομηχανία στο σύνολό της;

Σύνοψη

  • Το NadMesh αξιοποιεί υπηρεσίες από το Shodan για να αναγνωρίζει ευάλωτες υποδομές .
  • Η συνδυαστική του προσέγγιση παρέχει υψηλή απόδοση και επένδυση μέσα σε λίγα λεπτά.
  • Η προστασία των συστημάτων απαιτεί προληπτική προσέγγιση και καινοτόμα εργαλεία ασφάλειας.

Το NadMesh χρησιμοποιεί το Shodan για να βρει και να κλέψει το εκτεθειμένο AI

Το πιο χαρακτηριστικό χαρακτηριστικό του NadMesh είναι μια ειδική μονάδα αναγνώρισης που ονομάζεται ai_harvest.py. Αυτό το σενάριο ερωτά μέσω προγραμματισμού το Shodan API για εκτεθειμένες υπηρεσίες τεχνητής νοημοσύνης και αυτοματισμού, ειδικά δημιουργία προφίλ εφαρμογών όπως ComfyUI, Ollama, n8n, Open WebUI, Langflow και Gradio.

Μόλις αντιστοιχιστούν οι εκτεθειμένες υπηρεσίες, το κακόβουλο λογισμικό εισάγει αυτόματα τις ανακαλυφθείσες διευθύνσεις IP στην ουρά σάρωσης στο επίπεδο υψηλότερης προτεραιότητας.

Αυτή η μεθοδολογία αντικατοπτρίζει μια ευρύτερη τάση απειλής που έχει ήδη παρατηρηθεί σε οικοσυστήματα νέφους, όπου οι αυτοματοποιημένοι σαρωτές σαρώνουν εύρη IP στο cloud για περιπτώσεις που δεν έχουν επικυρωθεί και είναι ευάλωτες στην απομακρυσμένη εκτέλεση κώδικα.

Με την εξωτερική ανάθεση αρχικών εργασιών αναγνώρισης στον Shodan αντί να βασίζονται αποκλειστικά σε αργή, ωμή σάρωση με έντονο πόρους στο Διαδίκτυο, οι χειριστές του NadMesh μπορούν αμέσως να μηδενίσουν τις ζωντανές αναπτύξεις AI αντί να σπαταλούν εύρος ζώνης σε νεκρό χώρο διευθύνσεων.

Οι εγκληματίες του κυβερνοχώρου βελτιστοποιούν συνεχώς αυτές τις ροές εργασίας σάρωσης υποδομής, θυμίζοντας λειτουργίες πολλαπλών σταδίων όπως η καμπάνια EncryptHub που στοχεύουν συστηματικά εσωτερικά εταιρικά δίκτυα.

Ολοκληρωμένη ευφυΐα που περιγράφει λεπτομερώς διοχετεύσεις μετατροπής, δυαδικά μοτίβα μεταγλώττισης και συμπλέγματα ενεργών μολύνσεων μπορούν να αναθεωρηθούν στο ολοκληρωμένο Αναφορά ανάλυσης Botnet NadMesh.

Ο πίνακας ελέγχου χειριστή παρακολουθεί πλήθος ενεργών ρομπότ, συγκομιδή διαπιστευτηρίων και μετρήσεις εργασιών. (Πηγή εικόνας: xlab)

Η λειτουργία του botnet διέρχεται από πέντε στενά συντονισμένα στάδια: συλλογή πληροφοριών, κεντρικός έλεγχος, παροχή αυτόνομης εργασίας, πολυμορφική δυαδική κατασκευή και ενεργή παράδοση. Ο κεντρικός ελεγκτής ακούει στις θύρες 80 και 8443, χρησιμοποιώντας beacons με έλεγχο ταυτότητας HMAC για τη διαχείριση του στόλου των παραβιασμένων bot του.

Εκθέτει επίσης ένα προηγμένο πάνελ διαχείρισης ιστού εξοπλισμένο με αναλυτικά στοιχεία διοχέτευσης μετατροπής, αυτοματοποιημένες ενημερώσεις καναρίνι και λειτουργική ορατότητα σε πραγματικό χρόνο—χαρακτηριστικά πολύ πιο τυπικά για επιχειρηματικό εμπορικό λογισμικό από τον παραδοσιακό κακόβουλο κώδικα.

Μόλις μολυνθεί ένα τελικό σημείο, οι πράκτορες bot δημιουργούν πλεονάζοντα επίπεδα επιμονής χρησιμοποιώντας κερκόπορτες εξουσιοδοτημένου κλειδιού SSH, πολλαπλά κρυφά δυαδικά διπλότυπα και διεργασίες παρακολούθησης που βασίζονται σε cron για να διασφαλίσουν ότι η αφαίρεση οποιουδήποτε μεμονωμένου τεχνουργήματος αποτυγχάνει να καθαρίσει τη μόλυνση.

Το κακόβουλο λογισμικό σαρώνει ενεργά 30 διακριτές θύρες που καλύπτουν εταιρικές υπηρεσίες web, συμπλέγματα Kubernetes, συστήματα διαχείρισης βάσεων δεδομένων, API κοντέινερ και εργαλεία εσωτερικής παρακολούθησης. Οι θύρες υπηρεσιών AI λαμβάνουν αυστηρή προτεραιότητα κατά τη διάρκεια αυτών των σαρώσεων, ιδιαίτερα:

  • Θύρα 8188: ComfyUI
  • Θύρα 11434: Ολάμα
  • Θύρα 5678: n8n
  • Θύρα 7860: Gradio

Το οπλοστάσιο εκμετάλλευσής του εκτείνεται σε πάνω από 20 διανύσματα, στοχεύοντας κλήσεις εργαλείων MCP JSON-RPC, κακόβουλη δημιουργία pod Kubernetes, διαφυγές κοντέινερ API Docker, μη επιβεβαιωμένες παρουσίες Redis, εκτέλεση απομακρυσμένου κώδικα Elasticsearch (), στοιχεία κονσόλας Jenkins Script deflegical, όπως WebLolegization.

Διάγραμμα που καταγράφει την ποσοστιαία κατανομή διαφορετικών στόχων εκμετάλλευσης RCE
Διάγραμμα που καταγράφει την ποσοστιαία κατανομή διαφορετικών στόχων εκμετάλλευσης RCE (Πηγή εικόνας: xlab)
Επιφάνεια επίθεσης στόχου Πρωτοβάθμια εκμετάλλευση διάνυσμα Εμπλεκόμενος κίνδυνος σοβαρότητας
Διακομιστές MCP JSON-RPC tools/call -> execute_command βρόχους εκτέλεσης Ψηλά
Kubernetes Κακόβουλη δημιουργία pod σε συνδυασμό με hostPath παρακάμπτει το mount Ψηλά
Docker API Προνομιακή δημιουργία κοντέινερ για διευκόλυνση των ακολουθιών διαφυγής Ψηλά
Υποδομή Redis Χωρίς εξουσιοδότηση CONFIG SET λειτουργίες εγγραφής αρχείου Ψηλά
Υπηρεσίες AI Προτεραιότητα βάσει Shodan για τα ComfyUI, Olama, n8n και Gradio Ψηλά

Πέρα από τη δημιουργία μιας αρχικής βάσης πρόσβασης, οι παραβιασμένοι κεντρικοί υπολογιστές εξορύσσονται διεξοδικά για αρχιτεκτονικά δεδομένα υψηλής αξίας.

Το κακόβουλο λογισμικό εξάγει ενεργά κλειδιά πρόσβασης AWS, διαπιστευτήρια Amazon Bedrock, Kubernetes ServiceAccount διακριτικά με πεδία διαχείρισης συμπλέγματος, τοπικές διαμορφώσεις Docker και ολοκληρωμένα αποθέματα μοντέλων τεχνητής νοημοσύνης που φιλοξενούνται τοπικά (συμπεριλαμβανομένων των ενεργών κουπονιών API Llama2, Mistral και GPT-4). Συγκεντρώνει επίσης διαμορφώσεις πρόσβασης για εκμεταλλεύσιμα εσωτερικά εργαλεία MCP όπως execute_sql και execute_shell.

Όλα τα ανακτημένα δεδομένα διοχετεύονται πίσω σε έναν κεντρικό πίνακα εργαλείων που παρακολουθεί τους συγκεντρωτικούς αριθμούς πιστοποιητικών, τις ενεργές ευπάθειες MCP και τους κεντρικούς υπολογιστές Docker με δυνατότητα διαφυγής — νοημοσύνη απειλών που αποδεικνύεται πολύ πιο προσοδοφόρα για τον χειριστή από τους ίδιους τους παραβιασμένους υπολογιστικούς πόρους.

Χαρτογράφηση σχήματος αρχιτεκτονικής
Χαρτογράφηση σχήματος αρχιτεκτονικής (Πηγή εικόνας: xlab)

Για να αποφύγει τους μηχανισμούς ανίχνευσης που βασίζονται σε υπογραφές, το NadMesh εφαρμόζει τη συσκότιση Garble και τη συμπίεση UPX, διασφαλίζοντας ότι κάθε δυαδικό αρχείο που αναπτύσσεται δυναμικά φέρει ένα εντελώς μοναδικό κρυπτογραφικό κατακερματισμό.

Επιπλέον, διαθέτει έναν αυτοματοποιημένο μηχανισμό αποφυγής honeypot που θέτει σε μαύρη λίστα κάθε διεύθυνση IP που αποτυγχάνει να αποφέρει επιτυχημένα αποτελέσματα μόλυνσης μετά από δέκα διαδοχικές προσπάθειες ανάπτυξης.

Οι διαχειριστές που εκτελούν ενεργούς αγωγούς μηχανικής εκμάθησης πρέπει να αναπτύσσουν συνεχώς σύγχρονα εργαλεία προσομοίωσης επιθέσεων στον κυβερνοχώρο για να αξιολογούν την έκθεση των μοντέλων τους σε αυτούς τους αυτοματοποιημένους αρχιτεκτονικούς άξονες.

Δείκτες συμβιβασμού (IOC)

  • Κόμβος IP εντολών και ελέγχου (C2): 209.99.186.235
  • Τομέας δικτύου παράδοσης περιεχομένου C2: cdnorigin.net
NewsRoom
NewsRoomhttps://technoid.gr
Η συντακτική ομάδα του Technoid.gr αποτελείται από έμπειρους δημοσιογράφους και λάτρεις της τεχνολογίας με πολυετή θητεία στον ειδικό τύπο. Με προσήλωση στην εγκυρότητα και την αντικειμενική ανάλυση, το NewsRoom μεταφέρει τον παλμό των παγκόσμιων εξελίξεων, από τα τελευταία gadgets μέχρι τις επαναστατικές καινοτομίες που αλλάζουν τον κόσμο μας.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ