New NadMesh Botnet Hunts Exposed AI Services for Cloud Keys and Kubernetes Tokens
Ein neues Go-Botnet namens NadMesh jagt seit Anfang Juli ungesicherte KI-Dienste wie ComfyUI und Ollama. Es zielt darauf ab, Cloud-Schlüssel (insbesondere AWS) und Kubernetes-Tokens zu stehlen. Unternehmen, die solche KI-Dienste betreiben, sollten ihre Firewalls überprüfen und den Zugriff absichern, um Datenlecks und unautorisierten Zugriff zu verhindern.
Ein neues Go-basiertes Botnet namens NadMesh zielt auf ungesicherte KI-Dienste wie ComfyUI und Ollama ab. Es stiehlt Cloud-Schlüssel (insbesondere AWS) und Kubernetes-Tokens. Die Betreiber behaupten, bereits über 3.800 einzigartige AWS-Schlüssel erbeutet zu haben.
Organisationen, die ungesicherte KI-Dienste wie ComfyUI und Ollama betreiben.
Der Diebstahl von Cloud-Schlüsseln und Kubernetes-Tokens kann zu unautorisiertem Zugriff auf Cloud-Infrastrukturen und sensiblen Daten führen, was erhebliche Betriebsunterbrechungen und finanzielle Schäden verursachen kann.
Unautorisierter Zugriff auf die gesamte Cloud-Infrastruktur des Unternehmens, Datenexfiltration, Ressourcennutzung für böswillige Zwecke und potenzielle Kompromittierung weiterer Systeme durch die erbeuteten Anmeldeinformationen.
Überprüfung und Absicherung aller exponierten KI-Dienste, insbesondere ComfyUI und Ollama, durch Firewall-Regeln und Zugriffskontrollen. Rotation aller AWS-Schlüssel und Kubernetes-Tokens, die potenziell exponiert waren.
- ▸Überprüfen Sie Firewall-Logs auf ungewöhnliche Zugriffsversuche auf KI-Dienste wie ComfyUI und Ollama.
- ▸Validieren Sie, dass alle KI-Dienste, insbesondere ComfyUI und Ollama, nicht direkt aus dem Internet erreichbar sind oder durch strenge Zugriffskontrollen geschützt sind.
- ▸Überprüfen Sie Cloud-Audit-Logs (z.B. AWS CloudTrail) auf ungewöhnliche API-Aufrufe oder Aktivitäten, die auf die Verwendung gestohlener Schlüssel hindeuten könnten.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1190 Exploit Public-Facing Application | High | Ein neues Go-Botnet namens NadMesh jagt seit Anfang Juli ungesicherte KI-Dienste wie ComfyUI und Ollama. |
| Credential Access | T1552 Unsecured Credentials | High | Es zielt darauf ab, Cloud-Schlüssel (insbesondere AWS) und Kubernetes-Tokens zu stehlen. |
- Spezifische Schwachstellen oder Exploits, die von NadMesh genutzt werden, sind im Artikel nicht genannt.
- Die genaue Methode, wie die Cloud-Schlüssel und Kubernetes-Tokens von den ungesicherten Diensten extrahiert werden, ist nicht detailliert beschrieben.
- Die geografische Verteilung der betroffenen Organisationen oder der Angreifer ist nicht spezifiziert.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Möglich
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Haben wir Kubernetes extern erreichbar?
- Können wir Resource Development detektieren?