“ShadowRay 2.0”全球攻击活动：利用旧漏洞劫持Ray集群构建自传播挖矿僵尸网络

一场名为“ShadowRay 2.0”的全球攻击活动正在利用旧的代码执行漏洞劫持暴露在公共网络上的Ray集群，并将其转变为具有自我传播能力的加密货币挖矿僵尸网络。

Ray是Anyscale开发的开源框架，可以帮助在以“集群”或“头节点”形式组织的分布式计算生态系统中构建和扩展人工智能（AI）和Python应用程序。

据研究人员称，他们跟踪的威胁参与者“IronErn440”正在使用人工智能生成的有效负载来攻击可访问公共网络的易受攻击的Ray 基础设施。研究人员指出，此类恶意活动不仅限于加密货币挖矿，在某些情况下还涉及数据和凭证盗窃，以及发起分布式拒绝服务（DDoS）攻击。

新的攻击活动，旧的（未修复）漏洞“ShadowRay 2.0”是上一轮“ShadowRay”攻击活动——的延续。该活动由Oligo曝光，活跃时间为2023年9月至2024年3月。

Oligo 研究人员发现，两轮攻击都利用了编号为CVE-2023-48022 的旧版本高严重性漏洞。这个安全问题尚未得到修补，因为Ray 被设计为在受信任的环境中运行，例如“严格控制的网络环境”。

然而，研究人员表示，目前公共网络上有超过230,000 台Ray 服务器可访问，这比“首次发现ShadowRay 活动时观察到的数千台”有了显着增加。

Oligo 在今天发布的一份报告中提到，已检测到两波攻击：一波是滥用GitLab 分发有效负载，已于11 月5 日终止；另一波是利用GitLab 分发有效负载，该攻击已于11 月5 日终止；另一个是滥用GitHub，该行为自11 月17 日以来一直持续。

恶意GitHub 存储库

Payload功能分析Oligo指出，攻击中使用的Payload是由大型语言模型生成的。这个结论是基于对代码结构、现有注释和错误处理模式的分析。

例如，研究人员对一个有效负载进行了反混淆，发现它包含“文档字符串和无意义的echo 语句，这强烈表明该代码是由LLM 生成的”。

有效负载的一部分

攻击者利用CVE-2023-48022漏洞向Ray未经授权的Jobs API提交任务，运行多阶段Bash和Python负载，并利用平台的编排能力在所有节点上部署恶意软件，实现集群间的自主传播。

加密货币挖掘模块似乎也是由人工智能生成的，并将检测可用的CPU 和GPU 资源以及访问权限类型。研究人员在有效负载代码中发现，攻击者更喜欢具有“至少8 个核心和root 权限”的系统，并称此类系统为“非常好的男孩”（意思是“非常理想的目标”）。

该模块使用XMRig 软件来挖掘门罗币，仅使用60% 的处理能力以避免立即检测。

Oligo发现挖矿程序被植入了令人困惑的文件路径，并使用“dns-filter”等虚假进程名称来掩盖活动痕迹；同时，通过计划任务和修改systemd配置来实现持久化。

另一个有趣的发现是，攻击者将确保他们是唯一使用被劫持的Ray集群来挖掘——的人。他们将通过修改/etc/hosts文件和iptables规则来终止其他竞争对手的挖掘脚本并阻止其他矿池。

矿机配置

除了加密货币挖掘之外，该恶意软件还向攻击者的基础设施开放多个Python反向shell进行交互控制，从而获取和窃取工作负载环境数据、MySQL数据库凭证、专有AI模型以及存储在集群中的源代码。

此外，它还可以利用Sockstress工具发起DDoS攻击——。该工具通过原始套接字建立大量TCP连接，利用“资源消耗不对称”的原理来瘫痪目标。

从攻击者创建的计划任务来看，Oligo 发现有一个脚本每15 分钟执行一次，用于检查GitHub 存储库中是否有更新的Payload。

建立持久化机制

“ShadowRay 2.0”防御建议由于CVE-2023-48022漏洞目前尚无修复，建议Ray用户在部署集群时遵循厂商推荐的“最佳实践”。

在第一个“ShadowRay”攻击活动被曝光后，Anyscale 发布了有关该问题的更新说明，列出了一些建议，包括“在安全可信的环境中部署Ray”。同时，应通过防火墙规则和安全组策略对集群进行保护，防止未经授权的访问。

安全研究人员还建议在Ray控制台端口（默认8265）添加授权验证，并对AI集群实施持续监控以识别异常活动。