ShadowRay 2.0がAIクラスターを暗号通貨ボットネットに変える

出典: Summit Art Creations（Shutterstock経由）

脅威アクターが、オープンソースのRayフレームワークに存在する既知だが議論のあるリモートコード実行（RCE）脆弱性を積極的に悪用し、AIコンピュートインフラを乗っ取って他のRayベースの環境を攻撃しています。

Oligo Securityは、このキャンペーンについて最近のレポートで詳細に説明し、攻撃は公開されたRayダッシュボードやジョブ送信API、そして「ShadowRay」と名付けられた未解決の脆弱性を利用してクラスターを完全に制御していると述べています。

暗号通貨マイニングの発射台

侵入後、攻撃者は侵害したAIインフラを大規模な暗号通貨マイニング、ボットネット拡大、さらなる侵入の発射台に変えています。Oligoによれば、このキャンペーンは脅威アクターがAIシステムを体系的に悪用して他のAI環境を攻撃する初期の事例を示しています。

「IronErn440という名で活動する攻撃者は、Rayの正規のオーケストレーション機能を自己増殖型のグローバル暗号通貨ジャッキング作戦のツールに変え、公開されたRayクラスター間で自律的に拡散しています」とOligoの研究者Avi Lumelsky氏とGal Elbaz氏は記しています。「このキャンペーンが特に注目すべき理由は、AIの利用によってAIを攻撃している点です。」

Kubernetesがコンテナのためにあるように、Rayは多くの組織がAIワークロード（モデル学習、パラメータ調整、大規模データ処理など）をオーケストレーションするために利用するオープンソースの分散コンピューティングフレームワークです。ShadowRay（CVE-2023-48022）は、フレームワーク内の重大な（CVSS 9.8）バグで、認証されていない攻撃者がインターネットに公開されたダッシュボードのJobs APIを介して任意のコードをリモート実行できるものです。

Oligoは以前にもレポートしており、攻撃者がこの脆弱性を広範に利用してGPUクラスターを暗号通貨マイニング、データ窃取、分散型サービス拒否（DDoS）攻撃に乗っ取っていると述べています。被害者には暗号通貨、教育、バイオ医薬品などの分野の組織が含まれています。Rayを管理するAnyscaleは、この脆弱性を設計上の選択と説明しており、Rayが意図通りに制御された内部環境で使用される場合はリスクがないとしています。同社はツールも提供しており、組織がRay環境を適切に構成し、偶発的な公開を防ぐ方法を示しています。

OligoがShadowRay 2.0と呼ぶ進行中のキャンペーンは、2024年9月に開始されたとみられています。特に危険なのは、Oligoの最初の報告以降、公開されたRay環境の数が数千から現在約23万に増加している点です。Oligoのスキャンでは、その一部がCVE-2025-48022に脆弱で、すでにShadowRay 2.0キャンペーンによって侵害されている可能性が高いことが示されました。「明確なパッチが存在せず、ユーザーが自らクラスターを保護するという前提があったため、脅威アクターが同じ根本的な弱点を武器化し、新たなShadowRay v2キャンペーンに至ったのです」とLumelsky氏とElbaz氏は述べています。

2つの攻撃波

Oligoによれば、ShadowRay 2.0は2つの波で展開されました。最初、攻撃者はGitLabをコマンド＆コントロール（C2）インフラとして使用し、大規模言語モデルから生成されたマルウェアペイロードをホストし、プラットフォームのバージョン管理機能を通じてリアルタイムで更新を指揮しました。攻撃者はGitLabのCI/CDパイプラインを活用して、偵察用のAI生成コードを動的に更新・配信し、またXMRigマイナーを無害なプロセスに偽装して永続化を図りました。ステルス性を維持するため、ペイロードが暗号通貨マイニング時にCPUリソースの60％を超えて消費しないようにし、MySQL認証情報やクラウドトークンなどの機密データの窃取、独自AIモデルやソースコード、その他データセットの流出も行っています。Oligoによれば、このGitLabキャンペーンは主にAIスタートアップ、研究所、クラウドホスト環境を標的としました。

Oligoがこの作戦を報告した後、GitLabは11月5日に攻撃者のアカウントとリポジトリを削除しました。しかし11月10日までに、IronErn440のアクターは作戦全体をGitHubに移し、同プラットフォームからペイロードの配信を開始しました。GitHubが11月17日にリポジトリを削除した際、攻撃者は同日に代替リポジトリを立ち上げました。

GitHubフェーズでは、攻撃者はGPU最適化機能を強化したペイロードを用い、XMRigやRigelのマイナーを展開しています。また、時には数千ノード規模の大規模かつ高価値なクラスターも標的にしています。「攻撃者はインターネットに公開された数千台のマシン（年間400万ドル相当）のクラスターに手を伸ばし、侵害したRayノードでCPUを100％利用しています」とOligoの2人の研究者は述べています。

AIインフラを急速に構築している組織にとって、ShadowRay 2.0キャンペーンはRayのような広く使われているフレームワークの構成選択がリスク露出に大きく影響することを浮き彫りにしています。攻撃者が誤って構成されたクラスターを乗っ取り、重要なAI環境を制御し、無許可のワークロードを実行したり、暗号通貨をマイニングしたり、さらなる侵入の足がかりとすることができることを示しています。

ShadowRay 2.0のようなキャンペーンから守るためにOligoが推奨するのは、システムが偶発的に公開されないよう適切に構成されていることを確認することです。また、Rayを利用する組織は利用可能なベストプラクティスに従い、Rayダッシュボードポートの上に認可レイヤーを追加することを推奨しています。「議論のある脆弱性は、防御側にとって危険なグレーゾーンを生み出します。なぜなら、正式なパッチが提供されていないからです」とLumelsky氏とElbaz氏は述べています。「その結果、組織は現実世界の条件下で依然として悪用可能なソフトウェアを知らずに導入・運用してしまう可能性があり、攻撃者に攻撃の機会を与えてしまいます。」