ハッカーたちはインターネットに晒露されたComfyUIサーバーを積極的にハイジャックし、カスタムノードエコシステムを悪用してファイルレス仮想通貨採掘マルウェアとステルティなプロキシボットネットを配置しています。
既知のバレットプルーフホスティングプロバイダで最初に発見されたこの急速に成長中のキャンペーンは、AIコミュニティによって多く利用されている高性能クラウドGPUをターゲットにし、サイバー犯罪者の金銭化のための中央集約型ネットワークを構築しています。
脆弱なターゲットを見つけるため、脅威アクターはAWS、GCP、Oracle Cloudなどの主要なクラウドプロバイダ全体に継続的なスキャンパイプラインを運用しています。
彼らは軽量のbashスクリプトと偵察ツールを使用して晒露されたComfyUIインスタンスを識別し、現在、公開インターネット上に1,000を超える数が存在しています。
ターゲットが見つかると、ComfyUI Eternal Agentと呼ばれる高性能なPythonツールが任意のコード実行を引き継ぎます。
主な攻撃ベクトルはComfyUIのカスタムノードエコシステムに依存しており、グラフィカルインターフェースの機能を新しい機能で拡張するように設計されています。
一部の人気のある拡張機能は、意図せずに生のPythonコードを受け入れて実行し、オンラインで晒露されたときに認証されていないリモートコード実行エンドポイントとして機能します。
二次ペイロードは、Ghostという名前の洗練されたスクリプトであり、高性能なマルウェアローダーとして機能します。CPUでMoneroをマイニングするためにXMRigを配置し、ハイジャックされた高性能GPUでConfluxをマイニングするためにlolMinerを配置します。
検出を回避するため、マルウェアはLinuxメモリファイルディスクリプタシステムコールを使用してバイナリをメモリで直接ダウンロードして実行し、ディスク上に物理ファイルを残しません。
スクリプトがルートアクセスを取得した場合、カスタム共有ライブラリをコンパイルします。システムにそれを注入し、効果的に監視ツールが悪意のあるプロセスを見ないようにします。
攻撃者はまた、感染したハードウェアの支配をめぐって競争するサイバー犯罪者と積極的に戦っています。マルウェアには100以上の競争するマイニングプロセスのキルリストが含まれています。
Hisanaという名前のライバルボットネットをハイジャックするための専用コードが備わっています。Hisanaを単に終了する代わりに、スクリプトはそのマイニング出力を攻撃者のウォレットにリダイレクトし、その指令・統制ポートをブロックします。
オペレータはDigitalOcean、AWS、チャイナモバイルネットワーク全体でSSHキーを生成してシステムにアクセスしていることが観察されています。
疑わしい組織の自署TLS証明書を提示した後者のホストは、以前に大規模なRedisワーム攻撃キャンペーンでフラグが立てられていました。
ComfyUIスキャンツールの一貫した進化と、高度なファイルレスマルウェアとプロキシ機能の配置の組み合わせは、このサイバー犯罪企業の持続的な性質を強調しています。
翻訳元: https://cyberpress.org/comfyui-servers-hijacked-globally/