#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Утечка внутренних документов APT35, иранского государственного злоумышленника, выявила их структурированные кибероперации, нацеленные на такие страны, как Ливан и Южная Корея, наряду с внутренними иранскими целями. Технический анализ выявил использование ими изощренной тактики, такой как использование серверов Microsoft Exchange через ProxyShell, методы сбора учетных записей и троян удаленного доступа (RAT-2Ac2) для закрепления. Операции отражали дисциплинированную иерархическую структуру, ориентированную на детальную разведку, целенаправленное использование и сбор стратегической разведывательной информации.
-----

APT35, также известный как Charming Kitten, проводил систематические кибероперации, нацеленные на такие страны, как Ливан, Кувейт, Турция, Саудовская Аравия и Южная Корея, наряду с внутренними целями Ирана. Группировка действует под эгидой разведывательной организации Корпуса стражей Исламской революции (IO IRGC).

Утечка документов раскрывает использование сложной тактики, включая дампы LSASS, содержащие учетные данные в виде открытого текста и хэши NTLM для использования. В APT35 использовались методы удаленного доступа, такие как RDP-зонды и сбор учетных записей.

Выявленные методы эксплуатации включают атаки ProxyShell на серверы Microsoft Exchange. Организация имеет иерархическую структуру командования, а контроль за персоналом осуществляется с помощью ключевых показателей эффективности (KPI).

Среди ключевых сотрудников - Abbas Rahrovi, который руководил подставными компаниями для поддержки операций по кибершпионажу в подразделении 50 КСИР, уделяя особое внимание как наступательным кибероперациям, так и психологическим операциям.

APT35 сочетал обширную разведку с целенаправленной эксплуатацией ценных объектов, создавая списки приоритетных объектов для конкретных геополитических целей. Их оперативные стратегии были направлены на сбор разведывательной информации о государственных структурах и объектах инфраструктуры, одновременно расширяя возможности сбора учетных записей из коммерческих секторов.

Их инструментарий включал ориентированный на Windows троян удаленного доступа (RAT-2Ac2) для закрепления и сбора данных, поддерживаемый облегченными клиентскими инструментами для управления скомпрометированными системами.

#ParsedReport #CompletenessMedium
22-11-2025

WhatsApp compromise leads to Astaroth deployment

https://news.sophos.com/en-us/2025/11/20/whatsapp-compromise-leads-to-astaroth-deployment/

Report completeness: Medium

Actors/Campaigns:
Stac3150

Threats:
Astaroth
Maverick

Victims:
Whatsapp users

Industry:
Financial

Geo:
Brazil, Austria, Latin american

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1204.002, T1566.003

IOCs:
File: 1
Domain: 8
Url: 2

Soft:
WhatsApp, Selenium Chrome

Algorithms:
zip

Languages:
autoit, python, powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания STAC3150 нацелена на пользователей WhatsApp в Бразилии посредством многоэтапного распространения вредоносного ПО, использующего вредоносное ПО Astaroth, которое выполняется путем отправки сообщений с архивными вложениями, содержащими сценарий загрузки, который извлекает вторичную полезную нагрузку. Кроме того, была выявлена еще одна кампания, использующая банковский троянец Maverick для кражи учетных данных. Атаки в первую очередь затронули более 250 пользователей в Бразилии, что свидетельствует о растущем использовании тактики социальной инженерии с помощью надежных платформ обмена сообщениями.
-----

Недавняя хакерская кАмпания, отслеживаемая как STAC3150, нацеленная на пользователей WhatsApp в Бразилии, впервые была обнаружена 24 сентября 2025 года. Эта постоянная, многоэтапная попытка распространения вредоносного ПО использует платформу обмена сообщениями для компрометации систем с помощью развертываемого вредоносного ПО, известного как Astaroth. Начальная фаза атаки включает отправку сообщений, содержащих архивные вложения, в которых содержится скрипт загрузчика. Этот скрипт отвечает за извлечение множества вторичных полезных данных, эффективно облегчая внедрение вредоносного ПО Astaroth в систему жертвы.

В ходе отдельного расследования исследователи Counter Threat Unit (CTU) выявили другую кампанию, также нацеленную на бразильских пользователей WhatsApp, использующую платформу для развертывания банковского трояна Maverick, который в первую очередь нацелен на кражу учетных данных. Способ действия кампании STAC3150 начинается с первоначального сообщения, отправленного через WhatsApp с использованием функции "Просмотреть один раз", тем самым пытаясь избежать обнаружения и повысить вероятность вовлечения пользователя.

Анализ жертв, проведенный Sophos, показывает, что эта атака оказала воздействие на более чем 250 клиентов, преимущественно в Бразилии, где было расположено около 95% скомпрометированных устройств. Остальные пораженные устройства разбросаны по другим странам Латинской Америки, Соединенным Штатам и Австрии, что подчеркивает региональный масштаб угрозы. Эта кампания знаменует собой заметную тенденцию в области киберугроз, когда злоумышленники используют методы социальной инженерии через надежные коммуникационные платформы для реализации своих вредоносных планов. Последствия подчеркивают необходимость повышения осведомленности и бдительности пользователей популярных приложений для обмена сообщениями для снижения рисков, связанных с такими изощренными атаками.

#ParsedReport #CompletenessHigh
18-11-2025

Cyberattack UAC-0241 against an educational institution in eastern Ukraine using the GAMYBEAR software tool (CERT-UA#18329)

https://cert.gov.ua/article/6286219

Report completeness: High

Threats:
Gamybear
Lazagne_tool
Resocks_tool

Victims:
Educational institution, Education sector, Eastern ukraine

Industry:
Government, Ics

Geo:
Ukrainian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1036, T1059.001, T1059.003, T1059.007, T1090, T1105, T1204.002, T1218.005, have more...

IOCs:
Hash: 54
File: 20
Url: 14
IP: 4
Domain: 2
Path: 5
Command: 5
Registry: 2

Soft:
OPENSSH, curl, Gmail

Algorithms:
zip, base64

Languages:
cscript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кибератака UAC-0241, нацеленная на учебное заведение на востоке Украины, использовала вредоносное ПО GAMYBEAR, внедряя вредоносные исполняемые файлы, скрипты и документы-приманки, такие как "nakaz.pdf", чтобы ввести пользователей в заблуждение и облегчить заражение. Ключевые компоненты включали обратные скрипты оболочки, такие как "d3efafc.ps1", обеспечивающие несанкционированный доступ и сохраняющие контроль над скомпрометированными системами, в то время как дизайн GAMYBEAR's включал методы уклонения от обнаружения и применения тактики шпионажа, иллюстрирующие сложные и эволюционирующие ландшафты киберугроз.
-----

Кибератака UAC-0241 была нацелена на учебное заведение на востоке Украины с использованием программного обеспечения GAMYBEAR. Атака включала в себя развертывание нескольких Вредоносных файлов, выделяя различные векторы атаки и поведение вредоносного ПО, связанное с угрозой. Среди идентифицированных файлов ключевыми элементами были исполняемые файлы, файлы сценариев и документы, предназначенные для введения пользователей в заблуждение.

Примечательно, что процесс заражения начался с документа-приманки под названием "nakaz.pdf", предназначенного для того, чтобы заманить жертв к его открытию. Эта приманка сопровождалась несколькими запутанными скриптами и исполняемыми файлами, включая "zvit.hta", "update.js , " "updater.ps1" и многое другое, демонстрирующее многогранный подход к доставке вредоносного ПО. Так называемое вредоносное ПО GAMYBEAR было особо отмечено за его способность выполнять целый ряд функций, включая кражу информации и установление обратных подключений к оболочке.

В инфраструктуре атаки было заметно несколько сценариев обратной оболочки, включая "d3efafc.ps1", "f32fd002.ps1" и "operaupdater.ps1", все они были направлены на облегчение несанкционированного доступа к скомпрометированным системам. Наличие этих сценариев указывает на стратегию, направленную на поддержание контроля над целевой средой. Использование "svshosts.exe " и "ieupdater.exe ,"оба приписываются GAMYBEAR и предназначались для различных вредоносных операций, что усиливает роль вредоносного ПО в атаке.

В дополнение к возможностям эксфильтрации данных, такие компоненты, как "operupdate.exe " (отмечено как RESOCKS) и скрипты типа "dfafdfg.ps1" намекали на потенциальную дальнейшую тактику использования, включая функциональность SSH для выполнения команд и извлечения данных. Конструкция вредоносного ПО включала различные средства, позволяющие скрыть его действия от программного обеспечения безопасности и анализа, демонстрируя глубокое понимание методов уклонения.

Атака подчеркивает сохраняющуюся угрозу, исходящую от целенаправленных киберопераций в Украине, особенно в сфере образования, и иллюстрирует эволюционирующую природу киберугроз, связанных с использованием вредоносных программ для шпионажа или кражи информации. В целом, сложность и выполнение операции UAC-0241 представляют собой серьезную проблему в условиях продолжающегося цифрового конфликта.

#ParsedReport #CompletenessMedium
21-11-2025

Summary summary of malicious campaigns during the week of November 15 - 21

https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-15-21-novembre/

Report completeness: Medium

Threats:
Snake_keylogger
Formbook
Btmob_rat
Copybara
Sturnus
Phantom_stealer
Xworm_rat
Remcos_rat
Mintsloader
Smishing_technique
Agent_tesla
Grandoreiro
Donutloader
Cloudeye
Dbatloader

Victims:
Italian targets, Generic targets affecting italy, Webmail users

Industry:
Financial, Education

Geo:
Aruba, Italia, Italy, Italian

IOCs:
Domain: 1
Url: 2

Soft:
Zimbra

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В течение недели с 15 по 21 ноября CERT-AGID сообщила о 71 вредоносной кампании, затрагивающей итальянские организации, причем 44 были конкретно нацелены на Италию, и выявила 634 показателя компрометации (IoC). Было обнаружено тринадцать различных семейств вредоносных ПО, а также значительная угроза фишинга, нацеленная на 26 брендов, включая такие известные, как PagoPA и Aruba. Это подчеркивает необходимость усиления мониторинга различных киберугроз, включая тактику вредоносного ПО и фишинга, используемую злоумышленниками в регионе.
-----

В течение недели с 15 по 21 ноября CERT-AGID сообщила в общей сложности о 71 вредоносной кампании, воздействие на итальянские организации, причем 44 были нацелены конкретно на Италию, а 27 носили более общий характер, но все еще затрагивали регион. Примечательным аспектом этого отчета было предоставление 634 индикаторов компрометации (IoC) аккредитованным организациям, что способствовало лучшему обнаружению этих угроз и реагированию на них.

Для облегчения злонамеренной деятельности, наблюдаемой по всей Италии, был использован широкий спектр из 21 темы. Среди них анализ выявил 13 различных семейств вредоносных ПО, которые представляли угрозу в течение этой недели. Хотя в отчете не указаны все семейства вредоносных ПО, акцент на их идентификации подчеркивает необходимость бдительного мониторинга угроз вредоносного ПО в регионе.

Фишинг также стал серьезной проблемой, поскольку в течение недели мишенями стали 26 брендов. Заметными среди них были кампании, посвященные Пагопе, Арубе и автоторговле в Италии, что указывает на акцент на хорошо известных организациях для извлечения конфиденциальной информации у пользователей. Также упоминались кампании по фишингу веб-почты без брендирования, которые являются распространенной тактикой, применяемой киберпреступниками для эксплуатации ничего не подозревающих людей.

Общая ситуация свидетельствует о настоятельной необходимости повышения осведомленности и упреждающей защиты от различных киберугроз, особенно в связи с тем, что злоумышленники используют различные методы, такие как внедрение вредоносного ПО и схемы фишинга, для компрометации ничего не подозревающих пользователей и организаций в Италии.

#ParsedReport #CompletenessMedium
20-11-2025

Inside DPRKs Fake Job Platform Targeting U.S. AI Talent

https://www.validin.com/blog/inside_dprk_fake_job_platform/

Report completeness: Medium

Actors/Campaigns:
Contagious_interview
Clickfake
Tradertraitor (motivation: financially_motivated)

Threats:
Clickfix_technique

Victims:
Software developers, Artificial intelligence researchers, Cryptocurrency professionals, Technical job seekers, Non technical job seekers

Industry:
Software_development, Financial, Military

Geo:
Dprks, North korean, North korea, Dprk, Polish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1056.003, T1059.001, T1204, T1566, T1656

IOCs:
File: 4
Domain: 5
Command: 1
Url: 1
IP: 2

Soft:
curl, sudo

Algorithms:
zip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант связанной с КНДР операции "Contagious Interview" нацелен на американских специалистов в области искусственного интеллекта и технологий через поддельный портал вакансий, который имитирует известные компании, чтобы завоевать доверие. В этой операции используются многоэтапные атаки, включая загрузчик "Обновления драйверов Microsoft" и захват буфера обмена для манипулирования действиями пользователя. Отфильтровывая таланты в областях с высокой ценностью, атака высвечивает изощренную тактику, используемую акторами КНДР для извлечения конфиденциальной информации и использования профессиональной идентичности.
-----

Недавние наблюдения указывают на то, что новый вариант связанной с КНДР операции "Contagious Interview" активно нацелен на американских специалистов в области Искусственного интеллекта и других технологических областях с помощью нелегальной платформы для трудоустройства. В отличие от предыдущей тактики, применяемой акторами КНДР, которая часто включала Маскировку под сотрудников для проникновения в компании, эта кампания направлена на то, чтобы скомпрометировать подлинных соискателей работы путем создания кажущегося законным портала вакансий. Платформа демонстрирует высокий уровень отточенности, используя визуальные подсказки и элементы, имитирующие известные западные технологические стартапы, чтобы культивировать аутентичность и доверие.

Приманка предназначена для повышения доверия к платформе. Сравнивая свой фиктивный сервис с реальными компаниями в сфере искусственного интеллекта и производительности, злоумышленники создают видимость рыночной значимости. Объявления о вакансиях на этом сайте отражают реальные объявления о работе в США, с подробностями, отформатированными для имитации подлинности в названиях, описаниях и типах занятости. Стандартизированные приложения для различных ролей требуют конфиденциальной личной информации, включая имена, Адреса эл. почты и профили в LinkedIn, что закладывает основу для профилирования личности в соответствии с тактикой социальной инженерии КНДР.

Вредоносные операции осуществляются с помощью многоэтапной методологии атаки, примером которой, в частности, является программа загрузки "Обновления драйверов Microsoft", которая встроена в процесс подачи заявления о приеме на работу. Операция включает в себя захват буфера обмена, при котором прослушиватель событий запрограммирован на изменение содержимого буфера обмена всякий раз, когда пользователь пытается скопировать информацию с портала вакансий. Этот метод гарантирует, что скопированные команды будут заменены вредоносными последовательностями, разработанными злоумышленниками. Кроме того, сценарии PowerShell используются для извлечения встроенных сценариев без появления видимых пользователю предупреждений, что соответствует распространенной практике кибертактики КНДР.

Ориентация на профессионалов в области искусственного интеллекта и криптовалют является стратегической, отражая интерес КНДР к ценным технологическим талантам и инфраструктуре, которые могли бы расширить их возможности. Выдавая себя за уважаемых работодателей, таких как Anthropic и Yuga Labs, кампания служит не только приманкой, но и фильтром для людей, чьи навыки и связи в отрасли представляют ценность для сотрудников КНДР. Этот метод подчеркивает степень изощренности киберопераций КНДР и их эволюционирующие методы, направленные на извлечение информации и использование идентификационных данных из целевых секторов.

#ParsedReport #CompletenessMedium
20-11-2025

Multi-Level Cloaking Load Decryption and Driver-Level Blinding Countermeasures Analysis YouSnake (Silver Fox) Technique and Tactics Tracker

https://mp.weixin.qq.com/s/1Iwg1hNFqGVi4aXEStu0SA

Report completeness: Medium

Actors/Campaigns:
Silver_fox

Threats:
Cloaking_technique
Steganography_technique
Winos
Seo_poisoning_technique
Trojan/win32.swimsnake
Byovd_technique
Finalshell

Victims:
Antivirus vendors, Endpoint detection and response providers, Enterprise users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.009, T1041, T1059.003, T1059.005, T1071.001, T1140, T1562.004

IOCs:
Hash: 25
File: 29
Path: 5
Registry: 1
IP: 1
Domain: 1

Soft:
WeChat, Youdao, Windows Installer, InnoSetup, Windows Defender, Windows kernel, Microsoft Defender

Algorithms:
rc4, base64, zip, md5

Win API:
decompress, NtHandleCallback, NtQuerySystemInformation, NtOpenProcess, NtDuplicateObject

Languages:
powershell

Platforms:
x86, intel

#ParsedReport #ExtractedSchema

Classified images:
windows: 18, schema: 2, code: 14, dump: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Банда шантажистов "Плавающая змея (Silver Fox)" использует передовые методы уклонения, включая многоступенчатую расшифровку полезной нагрузки и сложные контрмеры на уровне драйверов, чтобы скрыть свою деятельность вредоносного ПО. В их атаке используется вредоносный установочный файл Windows, который выполняет скрипт Visual Basic для развертывания троянца удаленного управления при шифровании сообщений с использованием алгоритма RC4. Дополнительные компоненты, такие как дополнительный исполняемый файл, обходят методы обнаружения, используя хэши файлов драйверов и разрабатывая контрмеры, чтобы скрыть их присутствие от программного обеспечения безопасности.
-----

Банда шантажистов "Плавающая змея (Silver Fox)" использует сложные методы, чтобы избежать обнаружения программным обеспечением безопасности, в частности, с помощью многоступенчатой расшифровки полезной нагрузки и контрмер на уровне драйверов. Их первоначальная методология включает многоуровневые процессы дешифрования, которые включают в себя множество компонентов, предназначенных для сокрытия основной вредоносной полезной нагрузки. Этот подход к многоуровневому шифрованию использует около 80 зашифрованных альтернативных адресов управления (C2) и сложную синергию компонентов. Это эффективно маскирует его действия от программного обеспечения безопасности с помощью сложной схемы Стеганографии.

Полезная нагрузка формируется в вредоносном файле установщика Windows с именем "youd_fanyiK_2.0.msi", который скрытно выполняет скрипт Visual Basic (VBS) во время установки. Этот скрипт создает каталоги, имитирующие законные системные папки, и рассылает Вредоносные файлы по различным расположениям в системе, облегчая скрытое развертывание. Критическим компонентом атаки является троян удаленного управления Winos, который скрывается с помощью зашифрованного процесса подключения, который позже расшифровывается и выполняется для установления удаленного контроля над системой жертвы.

Связь между вредоносным ПО и инфраструктурой злоумышленника скрыта с помощью метода шифрования, основанного на алгоритме RC4, использующего специальный ключ для защиты информации о состоянии системы и связанных с ней показателях. Такая практика указывает на высокий уровень изощренности, поскольку вредоносное ПО также обладает способностью маскировать свое взаимодействие с другим программным обеспечением безопасности, используя созданные файлы драйверов, чтобы замести следы во время выполнения.

Дальнейшая изощренность демонстрируется вторичными векторами атаки, когда другой вредоносный исполняемый файл, "Wcnhguhyr.exe ," развертывается для выпуска дополнительных основных компонентов вредоносного ПО. Эти компоненты, используя структурные хэши целевых файлов драйверов, обходят хорошо известные антивирусные сигнатуры различных поставщиков.

Что примечательно, так это интеграция проактивных защитных механизмов на уровне ядра компанией Antenna CERT с помощью их технологии SmartArmor. Это включает в себя мониторинг в режиме реального времени и оценку поведения процесса, что позволяет обнаруживать и блокировать операции с высоким риском. Например, SmartArmor может идентифицировать и прерывать загрузку потенциально вредоносных драйверов на основе репутации их каталога и отсутствия действительных подписей, эффективно предотвращая установку драйверов, связанных с полезной нагрузкой "Плавающая змея".

Общая сложность техники "Плавающей змеи", наряду с передовыми защитными мерами, используемыми системами безопасности, такими как SmartArmor, подчеркивает продолжающуюся игру в кошки-мышки между киберпреступниками и защитниками в условиях киберугрозы.

#ParsedReport #CompletenessMedium
18-11-2025

ShadowRay 2.0: Attackers Turn AI Against Itself in Global Campaign that Hijacks AI Into Self-Propagating Botnet

https://www.oligo.security/blog/shadowray-2-0-attackers-turn-ai-against-itself-in-global-campaign-that-hijacks-ai-into-self-propagating-botnet

Report completeness: Medium

Actors/Campaigns:
Shadowray (motivation: cyber_criminal, financially_motivated)
Ironern440

Threats:
Xmrig_miner
Minerd
Sockstress_tool
Interactsh_tool

Victims:
Ai infrastructure, Cloud computing clusters

Geo:
China, Ireland, Indonesia, Chinese, Brazil, Korea, Finland, United kingdom, Usa, Russia, Moscow

CVEs:
CVE-2025-49596 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-48022 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- anyscale ray (2.6.3, 2.8.0)

CVE-2024-50050 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 7
Coin: 1
IP: 13
Hash: 2

Soft:
curl, systemd, Linux, crontab, MySQL

Crypto:
monero

Algorithms:
sha256, md5, sha1, base64

Functions:
syscall

Languages:
python

Links:
have more...
https://github.com/ray-project/ray-open-ports-checker
https://github.com/projectdiscovery/interactsh

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ShadowRay 2.0 нацелена на системы искусственного интеллекта, используя уязвимость CVE-2023-48022 в Ray framework, которая позволяет удаленно выполнять не прошедший проверку подлинности код через Jobs API. Злоумышленники используют искусственный интеллект для развертывания полезных нагрузок на Python для оптимизации ресурсов, создания обратных оболочек для командования и контроля и внедрения механизмов закрепления. Атака фокусируется на ресурсах графического процессора для майнинга криптовалют и использует самораспространяющуюся модель для усиления эксплуатации и извлечения конфиденциальных данных.
-----

Кампания ShadowRay 2.0 стала серьезной глобальной хакерской угрозой, использующей искусственный интеллект для организации атак на системы искусственного интеллекта. Эта операция использует уязвимость в Ray, платформе с открытым исходным кодом, обычно используемой для рабочих нагрузок искусственного интеллекта, в частности, недостаток, известный как CVE-2023-48022. Эта уязвимость допускает удаленное выполнение кода без проверки подлинности через Ray's Jobs API, позволяя злоумышленникам получить контроль над незащищенными вычислительными кластерами, которые они затем настраивают в самореплицирующийся ботнет.

Начиная с предварительной разведки, злоумышленники размещают задания в системе Ray, которые облегчают первоначальный доступ за счет использования не прошедших проверку подлинности API-интерфейсов отправки. Вредоносные скрипты способны выполнять простые проверки, такие как сбор системной информации или выполнение сложных многоэтапных полезных операций, чтобы проникнуть в скомпрометированную среду и закрепиться в ней. Затем злоумышленники продолжают использовать возможности оркестровки Ray, внедряя вредоносное ПО на каждом операционном узле кластера.

Центральное место в кампании занимает изощренное использование искусственного интеллекта, при котором злоумышленники запускают полезные программы на Python для оптимизации распределения ресурсов в скомпрометированных системах. Они устанавливают обратные оболочки для непрерывного доступа к командам и управлению и внедряют механизмы закрепления, такие как задания cron, для поддержания контроля над системами. Также используется Маскировка процессов, скрывающая майнинг и другие вредоносные операции в рамках обычных системных процессов.

Атака в значительной степени нацелена на ресурсы графического процессора, в частности NVIDIA A100s, для майнинга криптовалют, а также использует методы устранения конкуренции, нацеливаясь на конкурирующие процессы майнинга и инфраструктуру. Злоумышленники демонстрируют повышенную оперативную безопасность, адаптируя свою тактику в зависимости от географического положения, таким образом оптимизируя свои методы в зависимости от регионального контекста жертвы.

Более того, кампания ShadowRay использует самораспространяющуюся модель, используя скомпрометированные кластеры лучей для поиска и эксплуатации дополнительных жертв, что значительно увеличивает масштаб атаки. Имея возможность извлекать конфиденциальные данные, такие как учетные данные базы данных, злоумышленники в дальнейшем используют скомпрометированную инфраструктуру для атак типа "отказ в обслуживании" на другие цели.

Поскольку системы искусственного интеллекта, такие как Ray, становятся свидетелями более широкого внедрения с зачастую неадекватными конфигурациями безопасности, кампания ShadowRay 2.0 подчеркивает острую необходимость в надежных методах обеспечения безопасности. Ключевые стратегии смягчения последствий включают обеспечение надлежащей аутентификации на открытых API, использование брандмауэров для ограничения доступа и тщательный мониторинг производственных сред для обнаружения аномалий. Кампания подчеркивает более широкую тенденцию в области киберугроз, когда безопасность рабочих нагрузок искусственного интеллекта становится первостепенной, учитывая их растущую полезность и уязвимости в реальных приложениях.