SecBoard
Zurück zur Übersicht

New NadMesh Botnet Hunts Exposed AI Services for Cloud Keys and Kubernetes Tokens

The Hacker News·
Originalartikel lesen bei The Hacker News

Ein neues Go-Botnet namens NadMesh jagt seit Anfang Juli ungesicherte KI-Dienste wie ComfyUI und Ollama. Es zielt darauf ab, Cloud-Schlüssel (insbesondere AWS) und Kubernetes-Tokens zu stehlen. Unternehmen, die solche KI-Dienste betreiben, sollten ihre Firewalls überprüfen und den Zugriff absichern, um Datenlecks und unautorisierten Zugriff zu verhindern.

Kurzfassung

Ein neues Go-basiertes Botnet namens NadMesh zielt auf ungesicherte KI-Dienste wie ComfyUI und Ollama ab. Es stiehlt Cloud-Schlüssel (insbesondere AWS) und Kubernetes-Tokens. Die Betreiber behaupten, bereits über 3.800 einzigartige AWS-Schlüssel erbeutet zu haben.

Relevanz für Manager / CISOs
Priorität:Sofort
Betroffene

Organisationen, die ungesicherte KI-Dienste wie ComfyUI und Ollama betreiben.

Warum relevant

Der Diebstahl von Cloud-Schlüsseln und Kubernetes-Tokens kann zu unautorisiertem Zugriff auf Cloud-Infrastrukturen und sensiblen Daten führen, was erhebliche Betriebsunterbrechungen und finanzielle Schäden verursachen kann.

Realistisches Worst Case

Unautorisierter Zugriff auf die gesamte Cloud-Infrastruktur des Unternehmens, Datenexfiltration, Ressourcennutzung für böswillige Zwecke und potenzielle Kompromittierung weiterer Systeme durch die erbeuteten Anmeldeinformationen.

Handlungsempfehlung

Überprüfung und Absicherung aller exponierten KI-Dienste, insbesondere ComfyUI und Ollama, durch Firewall-Regeln und Zugriffskontrollen. Rotation aller AWS-Schlüssel und Kubernetes-Tokens, die potenziell exponiert waren.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie Firewall-Logs auf ungewöhnliche Zugriffsversuche auf KI-Dienste wie ComfyUI und Ollama.
  • Validieren Sie, dass alle KI-Dienste, insbesondere ComfyUI und Ollama, nicht direkt aus dem Internet erreichbar sind oder durch strenge Zugriffskontrollen geschützt sind.
  • Überprüfen Sie Cloud-Audit-Logs (z.B. AWS CloudTrail) auf ungewöhnliche API-Aufrufe oder Aktivitäten, die auf die Verwendung gestohlener Schlüssel hindeuten könnten.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1190 Exploit Public-Facing ApplicationHighEin neues Go-Botnet namens NadMesh jagt seit Anfang Juli ungesicherte KI-Dienste wie ComfyUI und Ollama.
Credential AccessT1552 Unsecured CredentialsHighEs zielt darauf ab, Cloud-Schlüssel (insbesondere AWS) und Kubernetes-Tokens zu stehlen.
Offene Punkte
  • Spezifische Schwachstellen oder Exploits, die von NadMesh genutzt werden, sind im Artikel nicht genannt.
  • Die genaue Methode, wie die Cloud-Schlüssel und Kubernetes-Tokens von den ungesicherten Diensten extrahiert werden, ist nicht detailliert beschrieben.
  • Die geografische Verteilung der betroffenen Organisationen oder der Angreifer ist nicht spezifiziert.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Möglich
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Haben wir Kubernetes extern erreichbar?
  • Können wir Resource Development detektieren?

MITRE ATT&CK Kill Chain (2 Techniken)

Resource Development