更新 悪意ある攻撃者がインターネットに公開されたRayクラスターを積極的に攻撃し、オープンソースのAIフレームワークを悪用して、暗号通貨のマイニング、データ窃取、分散型サービス妨害(DDoS)攻撃を行う自己増殖型ボットネットを拡散させている。
Oligo Securityのバグハンターによると、彼らがShadowRay 2.0と名付けた継続中のキャンペーンは、少なくとも2024年9月から活動している。この攻撃は、Amazon、Apple、OpenAIを含む大手テック企業が利用するAIワークロード向けオープンソース分散コンピューティングフレームワークであるRayに存在する、重大かつ未パッチの脆弱性CVE-2023-48022を悪用している。
これは、Oligoが2023年末に悪用が確認されたとして以前に報告したのと同じ欠陥である。当時、このアプリケーションセキュリティ企業はこの脆弱性をShadowRayと名付けていた。
CVSSスコア9.8を受けたこのセキュリティホールにより、公開されたRayダッシュボードAPIを通じてリモート攻撃者が任意コードを実行できる。この問題が未だにパッチ適用されていないのは、フレームワークの開発元ベンダーであるAnyscaleが、Rayは「厳密に制御されたネットワーク環境」以外での利用を想定していないため、このバグ報告は無関係だと主張しているからだ。
10月、AnyscaleはRayをLinux Foundation傘下のPyTorch Foundationに引き渡し、現在は同財団がこのオープンソースプロジェクトの保守を担っている。
記事公開後、Anyscaleは声明を送り、前回同様、Rayが正しく使用されている限りそれは脆弱性ではないとして、この問題に対処する予定はないことを示唆した。
「最新レポートで強調されている活動は最終的には、適切に保護されておらず、誤ってパブリックインターネットに公開された自己ホスト型Rayクラスターに起因しています。こうしたケースでは、攻撃者は開放されたエンドポイントを通じて不正なジョブを投入することができましたが、これはRay自体ではなく、デプロイ時の設定ミスに根ざした問題です」と広報担当者は我々に書いている。「Rayは設計上、任意のユーザー提出コードを実行するリモートコード実行エンジンです。記述されているセキュリティ問題は、ユーザーが認証されていないエンドポイントをパブリックインターネットに公開した場合にのみ発生します。」
大きな進化
「今回のキャンペーンは、当初のShadowRay発見からの大きな進化を示しています」と、Oligoの研究者Avi LumelskyとGal Elbazは火曜日のブログ投稿で記した。
初期の攻撃といくつかの共通点はあるものの、今回は別の攻撃者またはグループが、異なる手法を用いて実行している。
「IronErn440という名前で活動する攻撃者は、Rayの正当なオーケストレーション機能を、自己増殖型のグローバルな暗号通貨マイニング作戦のためのツールへと変え、公開されたRayクラスター全体に自律的に拡散させています」と2人は付け加えた。
彼らは世界中の組織を標的にしており、とりわけ大規模クラスターや高価なGPU環境に焦点を当てている
世界中に23万以上のインターネット公開Rayクラスターが存在することを考えると、これは組織にとって大きなリスクとなる。
「我々が手作業で調査したすべてのRayサーバーに攻撃者は到達しており、その活動は数週間にわたって継続しています」とLumelskyはThe Registerに語った。「彼らは世界中の組織を標的にしており、とりわけ大規模クラスターや高価なGPU環境に焦点を当てています。我々は年間数百万ドル相当の計算能力を持つ複数の公開クラスターを特定しましたが、いずれの場合もすでに攻撃者が入り込んでいました。影響を受けた組織は、米国から中国、その他の地域に至るまで、複数の業界と規模にまたがっています。」
違法な暗号通貨マイニングのためにこの欠陥を悪用することに加え、攻撃者は侵害したクラスターを利用して組織内での横移動を行い、インターネット非公開ノードへと移行し、内部ネットワーク上の追加マシンを感染させているとLumelskyは付け加えた。
「これらの侵害されたマシンは、その後外部ウェブサイトへのDDoS攻撃の発射台として利用されました」と彼は述べた。「いくつかのケースでは、攻撃者は企業の機密資産にもアクセスしており、そこにはAIモデル、データセット、アプリケーションのソースコード、クラウド認証情報、データベース認証情報、そして本番環境に保持されているユーザーデータへのアクセスが含まれていました。」
IronErn440は当初、このキャンペーンでリージョン認識型マルウェアの更新と配布のプラットフォームとしてGitLabを使用していた。リージョン認識型マルウェアは被害者の国を検出し、その情報を用いて、地域プロキシの利用やネットワーク状況に最適化するなど、配信方法を適応させる。
Oligoはこの悪意ある活動を報告し、GitLabは11月5日に攻撃者のリポジトリとアカウントを削除した。
しかしその直後、攻撃者はGitHubに移行し、複数のアカウントと新たなリポジトリを作成した。このキャンペーンは現在も継続中だという。
攻撃の仕組み
攻撃者はまず、オープンソースの脆弱性検出ツールinteract.shを使って、どのRayダッシュボードのIPが悪用可能かを特定し、その後コールバックを待って、どのサーバーが自分たちのコマンドを実行したかを追跡した。これにより、脆弱なターゲットを大規模に発見できた。
「手動スキャンの代わりに、被害者自身にコールバックさせることで自らを特定させているのです」とAIセキュリティ研究者たちは記している。「この手法は、従来型のスキャン検知を回避するのにも役立ちます。」
その後、彼らは公開ダッシュボード上の認証されていないRayジョブ送信APIを悪用し、単純な偵察から複雑な多段階ペイロードに至るまで、あらゆるものを投入した。
ここがセキュリティ欠陥の核心である。Rayのダッシュボードは信頼された内部ネットワーク向けに設計されているため、認証機能が組み込まれていない。クラスターがインターネットに公開されると(実際によくあることだが)、攻撃者は認証なしでアクセスできてしまうため、巨大なセキュリティホールとなる。
研究者たちが指摘するように、「攻撃者は脆弱性を悪用する必要すらなく、Rayの機能を設計どおりに使っただけです。これは大規模な構成上の脆弱性なのです。」
ペイロードの1つは、RayのスケジューリングAPIであるNodeAffinitySchedulingStrategyを悪用し、クラスター内の稼働中のすべてのノードでマルウェアを実行して横移動を可能にした。「これは本質的に、被害者のインフラを本来の用途どおりに、すでに動作しているアプリケーションと同様にPythonコードを使って利用しているに過ぎませんが、その目的が悪意あるものになっているのです」とLumelskyとElbazは述べた。
その後、攻撃者はクラスター内のCPUとGPUを検出し、検知回避のために使用率を60パーセントに制限し、その正確なリソース要件を持つ乗っ取りジョブを投入する多段階Pythonペイロードを展開した。
研究者によると、GitLab上のペイロードはAI生成である可能性が高いという。この評価は、マルウェアの「構造、コメント、エラー処理パターン」に基づいている。
犯罪者たちはまた、AWS上のコマンド&コントロールサーバーに対して複数のインタラクティブなリバースシェルを展開しており、冗長性を確保すると同時に、複数の攻撃オペレーターが存在する可能性も示唆している。
犯罪者が11月10日に作戦をGitHubへ移行した後、セキュリティ研究者たちは数千台のマシンを抱える侵害クラスターを確認した。報告によれば、これらはRayクラスターの60パーセントでCPU使用率100パーセントを達成しており、年間400万ドル相当の価値があるという。
「あるサーバーにはネットワークNFSマウントがあり、そこには240GB分のソースコード、AIモデル、データセットが含まれていました。ここ数年間、その企業が行ってきたすべてのことがインターネットにさらされていたのです」とOligoの2人は記している。
攻撃者はまた、「nvidia-smi」ユーティリティを通じてGPUマシンをチェックする、新しくより効率的な暗号通貨マイナーも使用していた。
GitHubは11月17日に攻撃者のアカウントをブロックしたものの、犯罪者は同じ日に新しいアカウントを開設し、2時間以内にキャンペーンを再開した。
「我々は、このキャンペーンが自動化されていると考えています。その理由は、復旧の速さと、プロバイダーや世界各地にまたがるステルス性の高い運用にあります」とAI脅威ハンターたちは記している。
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/18/selfreplicating_botnet_ray_clusters/
