Кибератаки на DeepSeek: угроза от HailBot и RapperBot

Кибератаки на DeepSeek: угроза от HailBot и RapperBot

Источник: any.run

Китайская компания DeepSeek, известная своими разработками в области искусственного интеллекта, столкнулась с серьёзными кибератаками сразу после запуска своей модели DeepSeek-R1. В этом отчете рассматриваются детали атак, особенности задействованных ботнетов и последствия для организации и пользователей.

Идентификация угроз

Атаки на DeepSeek были приписаны двум ботнетам: HailBot и RapperBot. Оба использовали методы распределённого отказа в обслуживании (DDoS), в том числе:

  • Усиление отражения;
  • Методы грубой силы.

С начала января 2025 года компания стала жертвой участившихся DDoS-атак, что culminated на 28 января. Попытки грубой силы, осуществлявшиеся с IP-адресов в США, только усугубили ситуацию.

Уязвимости и методы атак

Ботнеты HailBot и RapperBot являются производными от известного ботнета Mirai. HailBot нацелен на уязвимости, такие как CVE-2017-17215, которые затрагивают устройства Huawei. Его способности по компрометации позволили ему нацелиться на широкий спектр подключённых устройств для реализации DDoS-атак.

Анализ с использованием интерактивной песочницы ANY.RUN выявил схемы подключения HailBot к своим командно-контрольным серверам (C2). Обнаружение активности HailBot облегчалось благодаря специальным правилам Suricata IDS, обеспечивающим сигнализацию пользователей о таких сетевых взаимодействиях.

Проблемы, связанные с RapperBot

RapperBot использует в основном SSH-атаки методом перебора, которые можно идентифицировать по строке подписи SSH-2.0-HELLOWORLD. После получения доступа к устройству, он заменяет файл authorized_keys, что обеспечивает постоянный доступ к системе. Дополнительно, RapperBot создает учетную запись суперпользователя с именем suhelper, изменяя связанные с учетными данными пользователя системные файлы и постоянно проверяя наличие новых целей с помощью списков учетных данных, полученных от C2 сервера.

RapperBot также активно использует возможности криптоджекинга, внедряя майнер XMRig для работы скомпрометированных систем на использование криптовалют, таких как Monero. Поведенческий анализ показал, что RapperBot продемонстрировал высокий объём трафика, пытаясь выполнить более 139 000 подключений всего за три минуты во время тестов в среде песочницы.

Последствия и выводы

Инциденты, связанные с DeepSeek, подчеркивают изменяющийся ландшафт угроз, которые создают сложные ботнеты. Это акцентирует внимание на необходимости принятия организациями превентивных механизмов защиты против таких киберугроз. Эксперты Корпорации безопасности призывают к более строгому мониторингу и защите цифровой инфраструктуры, облегчая борьбу с растущими атаками.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: