СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
24 мая
#ИБ

P2P-майнер vc атакует LLM-хонипоты через API

Криминалистический анализ атаки на honeypot для больших языковых моделей выявил сложную угрозу, сочетающую функции RAT, downloader и криптомайнера, а также децентрализованную P2P-архитектуру для уклонения от detection.

Что произошло

В ходе недавнего криминалистический анализа расследования серии атак на специально созданный honeypot для больших языковых моделей специалисты выявили сложную угрозу, которая использует децентрализованное сетевое взаимодействие для обхода средств защиты. В центре кампании оказалось основное ВПО, идентифицированное как бинарный файл на Go под названием vc.

По данным исследования, vc выполняет сразу несколько ролей: работает как Trojan RAT и как загрузчик криптомайнера. При этом вредоносный код запускается с привилегиями владельца процесса Ollama, что делает атаку особенно опасной в среде, где такие сервисы используются для обслуживания API.

Как запускается атака

Инфекция инициируется через API-запросы к конечной точке /api/create, причем основной вектор нацелен на порт 11434. Первый payload атакующего пытается загрузить установочный скрипт i.sh, в котором реализована логика резервного загрузчика.

Скрипт последовательно пробует несколько способов получения файла:

  • curl;
  • wget;
  • Python-скрипт.

После успешной загрузки бинарный файл vc размещается в оперативной памяти, в каталоге /dev/shm/.sys-update. Затем вредоносный файл удаляется с диска, чтобы затруднить обнаружение и последующий forensic analysis.

Маскировка и устойчивость

Отмечается, что vc использует сжатие UPX, однако стандартные инструменты UPX могут снять эту защиту и облегчить анализ образца.

Архитектура ВПО позволяет ему имитировать легитимные системные процессы. В частности, оно маскируется под поток ядра с именем kworker. Дополнительно закрепление обеспечивается функцией hydraPersistence, которая добавляет задачу в crontab системы для периодического повторного внедрения.

P2P-архитектура на базе libp2p

Ключевая особенность кампании — собственный peer-to-peer (P2P) протокол, построенный на базе фреймворка libp2p. Такое решение позволяет обходить межсетевые экраны и ограничения NAT с использованием технологий, включая WebRTC и QUIC.

Именно децентрализованная схема управления усложняет блокировку инфраструктуры: вместо одной централизованной точки контроля оператор получает гибкую сеть узлов, которую труднее отключить традиционными методами.

Как работает payload

Вредоносное ПО vc действует как дроппер P2P-криптоминера с четко определенным путем выполнения. Сначала оно копирует себя в другое расположение на RAM-диске, после чего размещает два дополнительных бинарных файла:

  • один используется как P2P-сетевой proxy;
  • другой выполняет роль майнера Monero.

Для дополнительной маскировки процесс переименовывается в kworker-main. Затем майнер запускает локальный proxy, который маршрутизирует traffic майнинга через децентрализованную P2P-сеть, эффективно обходя традиционные методы блокировки соединений.

При этом вредоносное ПО ограничивает потребление ресурсов до 50% CPU, чтобы оставаться менее заметным в системе.

Что это означает для defenders

Исследователи подчеркивают, что vc отражает тревожную эволюцию commercial malware: оно уходит от централизованных control infrastructure к децентрализованным системам, которые значительно осложняют detection и response.

Эксплуатация уязвимостей в supply chain и API показывает, что традиционные методы защиты уже недостаточны. В текущих условиях защитникам рекомендуется смещать фокус на поведенческий анализ и аномалии протоколов, особенно если речь идет о:

  • неожиданном traffic по QUIC;
  • подозрительной активности WebSocket;
  • аномалиях, которые не укладываются в типичный профиль работы легитимного сервиса;
  • контроле не только IP-адресов и domain-based blocking, но и сетевых паттернов.

Как следует из отчета, именно advanced behavioral analysis становится критически важным инструментом против многоуровневых киберугроз, сочетающих скрытность, persistence и распределенную инфраструктуру управления.

Вывод

Атака с участием vc демонстрирует, как современное ВПО объединяет RAT, downloader, криптомайнер и P2P-механизмы в единую цепочку, ориентированную на stealth и устойчивость к блокировкам. Для специалистов по security это еще один сигнал: борьба с такими угрозами требует не только сетевых фильтров, но и глубокого анализа поведения, процессов и аномалий на уровне протоколов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: