Кампания была впервые зафиксирована в феврале 2025 года, когда ранняя версия вредоносного кода была загружена на VirusTotal с территории Гонконга. Основная концентрация зараженных систем наблюдается в Германии, США и Китае.
«Для распространения вредоноса использовались уязвимости ComfyUI. Злоумышленники распространяли исполняемые файлы формата ELF, замаскированные под конфигурационные файлы (включая config.json, tmux.conf и vim.json). При запуске с root-привилегиями PickAI создает пять идентичных копий себя в различных системных каталогах. Каждая копия имеет синхронизированные временные метки модификации, соответствующие таковым у файла /bin/sh, что маскирует их под легитимные системные компоненты.
Каждая реплика реализует механизмы персистентности через дублирующие методы, создавая в совокупности десять различных служб. Все это продумано для противодействия сигнатурному анализу, а дополнительно ВПО дополняет копию случайными данными, что приводит к генерации уникальных хэшей MD5 для идентичной по функционалу вредоносной нагрузки. В средах без прав суперпользователя PickAI обеспечивает свою персистентность, поддерживая пять точек восстановления через сервисы systemd в пользовательских каталогах».
Вирус чрезвычайно устойчив к обнаружению: он создаёт несколько копий себя в разных системных папках, изменяя свои временные метки и добавляя случайные данные, чтобы обмануть антивирусы. Даже если запускается без административных прав, PickAI обеспечивает себе «выживание» с помощью резервных копий в пользовательских папках.
Для снижения рисков атак на ИИ-сервера наш эксперт рекомендует выделить их в отдельные сегменты DMZ, использовать механизмы контейнеризации, а также ограничить запуск ИИ-сервисов под минимальными привилегиями. В вопросах контроля доступа к ИИ-сегменту стоит обеспечить соблюдение принципа минимальных привилегий и внедрить MFA.
«В контексте этого кейса, SOC имеет определяющее значение для обеспечения проактивной защиты инфраструктуры: обеспечение мониторинга критических системных файлов (/bin/sh, файлы в init.d/, systemd, конфиги) на предмет изменений, а также отслеживать наличие характерных имен файлов, сигнатур C2, хэшей несмотря на рандомизацию. Аналитикам SOC рекомендуется проводить и ретроспектвный анализ аномалий: несвойственные процессы, сетевые соединения, изменения файлов. Для выстраивания проактивной защиты можно обратиться в GSOC компании "Газинформсервис" — квалифицированные аналитики способны выступить центральным звеном, связывающим технические средства защиты, аналитику угроз и оперативные действия», — объяснила эксперт.
#gis_новости #gsoc
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10❤2👏2🤔2🎉1
«В серии атак преступники используют общедоступные и разрешенные инструменты для своих целей, что приносит свои плоды, так как стандартные системы безопасности с меньшей вероятностью заблокируют ссылку на легитимный Dropbox или GitHub, чем на неизвестный подозрительный сайт», — объяснил эксперт.
Для бизнеса это означает, что традиционного выстраивания «стены» на периметре уже недостаточно — замотивированный преступник сможет проникнуть практически через любую периметральную защиту. Атака начинается с обычного, на первый взгляд безобидного письма, легко проходящего базовые фильтры. Основная ставка делается на человеческий фактор.
Для защиты от таких атак необходим комплексный подход:
«Во-первых, ключевую роль играет осведомленность персонала. Необходимо постоянно обучать команды распознавать такие уловки и не доверять слепо даже ссылкам на известные сервисы.
Во-вторых, нужны современные средства защиты, которые анализируют не только сам файл, но и его поведение в системе уже после запуска. Именно на этом уровне профессиональные центры мониторинга выявляют аномальную активность и останавливают атаку, даже если первый рубеж обороны был пройден.
Сегодняшний урок прост: цифровая бдительность и многоуровневая технологическая защита — единственный работающий рецепт против современных угроз».
#gis_новости #gsoc
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤5🤔1