🌟 Atualização imperdível para quem gosta de estar bem informado!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Foi observada uma campanha ativa visando instâncias expostas à Internet que executam o ComfyUI, uma popular plataforma de difusão estável, para inscrevê-las em uma botnet de mineração de criptomoedas e proxy.
"Um scanner Python desenvolvido especificamente varre continuamente os principais intervalos de IP da nuvem em busca de alvos vulneráveis, instalando automaticamente nós maliciosos por meio do ComfyUI-Manager se nenhum nó explorável já estiver presente", disse o pesquisador de segurança da Censys, Mark Ellzey, em um relatório publicado na segunda-feira.
A atividade de ataque, em sua essência, verifica sistematicamente instâncias expostas do ComfyUI e explora uma configuração incorreta que permite a execução remota de código em implantações não autenticadas por meio de nós personalizados.
Após a exploração bem-sucedida, os hosts comprometidos são adicionados a uma operação de criptomineração que explora Monero via XMRig e Conflux via lolMiner, bem como a uma botnet Hysteria V2. Ambos são gerenciados centralmente por meio de um painel de comando e controle (C2) baseado em Flask.
Os dados das plataformas de gerenciamento de superfície de ataque mostram que há mais de 1.000 instâncias ComfyUI acessíveis ao público. Embora não seja um número enorme, é suficiente que um agente de ameaça realize campanhas oportunistas para obter ganhos financeiros.
A Censys disse que descobriu a campanha no mês passado depois de identificar um diretório aberto em 77.110.96[.]200, um endereço IP associado a um provedor de serviços de hospedagem à prova de balas, o Aeza Group. Diz-se que o diretório continha um conjunto de ferramentas anteriormente não documentadas para realizar os ataques.
Isso inclui duas ferramentas de reconhecimento para enumerar instâncias expostas do ComfyUI na infraestrutura de nuvem, identificar aquelas que têm o ComfyUI-Manager instalado e selecionar aquelas que são suscetíveis à exploração de execução de código.
Um dos dois scripts Python do scanner também funciona como uma estrutura de exploração que transforma os nós personalizados do ComfyUI em uma arma para obter a execução do código. Essa técnica, alguns aspectos documentados por Snyk em dezembro de 2024, aproveita o fato de que alguns nós personalizados aceitam código Python bruto como entrada e o executam diretamente, sem exigir qualquer autenticação.
Como resultado, um invasor pode verificar instâncias expostas do ComfyUI em busca de famílias de nós personalizados específicos que suportam a execução arbitrária de código, transformando efetivamente o serviço em um canal para entregar cargas Python controladas pelo invasor. Algumas das famílias de nós personalizados que o ataque procura especificamente estão listadas abaixo -
Vova75Rus/ComfyUI-Shell-Executor
filliptm/ComfyUI_Fill-Nodes
seanlynch/srl-nodes
ruiqutech/ComfyUI-RuiquNodes
“Se nenhum dos nós de destino estiver presente, o scanner verifica se o ComfyUI-Manager está instalado”, disse Censys. "Se disponível, ele instala um pacote de nó vulnerável e tenta novamente a exploração."
É importante notar que “ComfyUI-Shell-Executor” é um pacote malicioso criado pelo invasor para buscar um script de shell de próximo estágio (“ghost.sh”) do endereço IP mencionado acima. Depois que a execução do código é obtida, o scanner remove as evidências da exploração limpando o histórico de prompts do ComfyUI.
Uma versão mais recente do verificador também incorpora mecanismos de persistência que fazem com que o script de shell seja baixado a cada seis horas e o fluxo de trabalho de exploração seja executado novamente sempre que o ComfyUI for iniciado.
O shell script, por sua vez, desativa o histórico do shell, mata mineradores concorrentes, inicia o processo de mineração e usa o gancho LD_PRELOAD para ocultar um processo de vigilância que garante que o processo de mineração seja reativado caso seja encerrado.
Além disso, o programa minerador é copiado para vários locais para que, mesmo que o diretório de instalação principal seja apagado, ele possa ser iniciado a partir de um dos locais alternativos. Um terceiro mecanismo que o malware usa para garantir a persistência é o uso do comando "chattr +i" para bloquear os binários do minerador e evitar que sejam excluídos, modificados ou renomeados, mesmo pelo usuário root.
“Há também um código dedicado direcionado a um concorrente específico, ‘Hisana’ (que é referenciado em todo o código), que parece ser outro botnet de mineração”, explicou Censys. "Em vez de apenas eliminá-lo, o ghost.sh sobrescreve sua configuração para redirecionar a saída de mineração da Hisana para seu próprio endereço de carteira e, em seguida, ocupa a porta C2 da Hisana (10808) com um ouvinte Python fictício para que a Hisana não possa reiniciar."
The infected hosts are commandeered by means of a Flask-based C2 panel, which allows the operator to push instructions or deploy additional payloads, including a shell script that installs Hysteria V2 with the likely goal of selling compromised nodes as proxies.
Uma análise mais aprofundada do histórico de comandos shell do invasor revelou uma tentativa de login SSH como root para o endereço IP 120.241.40[.]237, que foi vinculado a uma campanha de worm em andamento visando servidores de banco de dados Redis expostos.
"Grande parte das ferramentas neste repositório parecem montadas às pressas,
"Um scanner Python desenvolvido especificamente varre continuamente os principais intervalos de IP da nuvem em busca de alvos vulneráveis, instalando automaticamente nós maliciosos por meio do ComfyUI-Manager se nenhum nó explorável já estiver presente", disse o pesquisador de segurança da Censys, Mark Ellzey, em um relatório publicado na segunda-feira.
A atividade de ataque, em sua essência, verifica sistematicamente instâncias expostas do ComfyUI e explora uma configuração incorreta que permite a execução remota de código em implantações não autenticadas por meio de nós personalizados.
Após a exploração bem-sucedida, os hosts comprometidos são adicionados a uma operação de criptomineração que explora Monero via XMRig e Conflux via lolMiner, bem como a uma botnet Hysteria V2. Ambos são gerenciados centralmente por meio de um painel de comando e controle (C2) baseado em Flask.
Os dados das plataformas de gerenciamento de superfície de ataque mostram que há mais de 1.000 instâncias ComfyUI acessíveis ao público. Embora não seja um número enorme, é suficiente que um agente de ameaça realize campanhas oportunistas para obter ganhos financeiros.
A Censys disse que descobriu a campanha no mês passado depois de identificar um diretório aberto em 77.110.96[.]200, um endereço IP associado a um provedor de serviços de hospedagem à prova de balas, o Aeza Group. Diz-se que o diretório continha um conjunto de ferramentas anteriormente não documentadas para realizar os ataques.
Isso inclui duas ferramentas de reconhecimento para enumerar instâncias expostas do ComfyUI na infraestrutura de nuvem, identificar aquelas que têm o ComfyUI-Manager instalado e selecionar aquelas que são suscetíveis à exploração de execução de código.
Um dos dois scripts Python do scanner também funciona como uma estrutura de exploração que transforma os nós personalizados do ComfyUI em uma arma para obter a execução do código. Essa técnica, alguns aspectos documentados por Snyk em dezembro de 2024, aproveita o fato de que alguns nós personalizados aceitam código Python bruto como entrada e o executam diretamente, sem exigir qualquer autenticação.
Como resultado, um invasor pode verificar instâncias expostas do ComfyUI em busca de famílias de nós personalizados específicos que suportam a execução arbitrária de código, transformando efetivamente o serviço em um canal para entregar cargas Python controladas pelo invasor. Algumas das famílias de nós personalizados que o ataque procura especificamente estão listadas abaixo -
Vova75Rus/ComfyUI-Shell-Executor
filliptm/ComfyUI_Fill-Nodes
seanlynch/srl-nodes
ruiqutech/ComfyUI-RuiquNodes
“Se nenhum dos nós de destino estiver presente, o scanner verifica se o ComfyUI-Manager está instalado”, disse Censys. "Se disponível, ele instala um pacote de nó vulnerável e tenta novamente a exploração."
É importante notar que “ComfyUI-Shell-Executor” é um pacote malicioso criado pelo invasor para buscar um script de shell de próximo estágio (“ghost.sh”) do endereço IP mencionado acima. Depois que a execução do código é obtida, o scanner remove as evidências da exploração limpando o histórico de prompts do ComfyUI.
Uma versão mais recente do verificador também incorpora mecanismos de persistência que fazem com que o script de shell seja baixado a cada seis horas e o fluxo de trabalho de exploração seja executado novamente sempre que o ComfyUI for iniciado.
O shell script, por sua vez, desativa o histórico do shell, mata mineradores concorrentes, inicia o processo de mineração e usa o gancho LD_PRELOAD para ocultar um processo de vigilância que garante que o processo de mineração seja reativado caso seja encerrado.
Além disso, o programa minerador é copiado para vários locais para que, mesmo que o diretório de instalação principal seja apagado, ele possa ser iniciado a partir de um dos locais alternativos. Um terceiro mecanismo que o malware usa para garantir a persistência é o uso do comando "chattr +i" para bloquear os binários do minerador e evitar que sejam excluídos, modificados ou renomeados, mesmo pelo usuário root.
“Há também um código dedicado direcionado a um concorrente específico, ‘Hisana’ (que é referenciado em todo o código), que parece ser outro botnet de mineração”, explicou Censys. "Em vez de apenas eliminá-lo, o ghost.sh sobrescreve sua configuração para redirecionar a saída de mineração da Hisana para seu próprio endereço de carteira e, em seguida, ocupa a porta C2 da Hisana (10808) com um ouvinte Python fictício para que a Hisana não possa reiniciar."
The infected hosts are commandeered by means of a Flask-based C2 panel, which allows the operator to push instructions or deploy additional payloads, including a shell script that installs Hysteria V2 with the likely goal of selling compromised nodes as proxies.
Uma análise mais aprofundada do histórico de comandos shell do invasor revelou uma tentativa de login SSH como root para o endereço IP 120.241.40[.]237, que foi vinculado a uma campanha de worm em andamento visando servidores de banco de dados Redis expostos.
"Grande parte das ferramentas neste repositório parecem montadas às pressas,
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #mais #de #1.000 #instâncias #expostas #do #comfyui #direcionadas #à #campanha #de #botnet #de #criptografia
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário