В киберпространстве наблюдается широкомасштабная и активная ботнет-кампания, систематически нацеленная на интернет-экспозированные экземпляры ComfyUI — популярного графического интерфейса для фреймворка генерации изображений ИИ Stable Diffusion. Цель злоумышленников — скомпрометировать эти системы и вовлечь их в ботнет двойного назначения, предназначенный для незаконного майнинга криптовалюты и работы в качестве прокси-узлов для другого вредоносного трафика. Исследователи безопасности установили, что кампания уже успешно скомпрометировала более тысячи уязвимых серверов, превращая ценные вычислительные ресурсы — часто размещенные на дорогой облачной инфраструктуре — в источник дохода для угрозовых акторов.
Методология атаки отличается высокой автоматизацией и агрессивностью. Злоумышленники используют специально созданный сканер на Python, который постоянно прочесывает диапазоны IP-адресов, принадлежащих крупным облачным провайдерам. Этот сканер специально разработан для выявления общедоступных экземпляров ComfyUI. Обнаружив цель, сканер проверяет, является ли система уже частью ботнета или была скомпрометирована конкурирующей группой, занимающейся криптоджекингом. Если экземпляр чист и уязвим, атака автоматически переходит в фазу эксплуатации.
Эксплуатация использует критическую уязвимость в ComfyUI-Manager — популярном расширении для управления пользовательскими узлами и рабочими процессами в экосистеме ComfyUI. Используя этот security-дефект, злоумышленники могут добиться удаленного выполнения кода (RCE) без необходимости аутентификации. Это позволяет их автоматизированным скриптам загружать и выполнять вредоносную нагрузку непосредственно на сервере. Основная нагрузка — это майнер криптовалюты, обычно вариант программного обеспечения XMRig, настроенный на майнинг Monero (XMR) — ориентированной на конфиденциальность криптовалюты, которую киберпреступники предпочитают из-за сложности отслеживания транзакций.
Помимо криптоджекинга, скомпрометированные узлы используются для формирования прокси-ботнета, также известного как сеть резидентных прокси. Эту сеть можно сдавать в аренду другим преступникам для анонимизации широкого спектра вредоносных действий, включая атаки перебора учетных данных, рекламное мошенничество, веб-скрапинг и обход географических ограничений. Эта стратегия двойной монетизации — прямой доход от майнинга плюс прибыль от продажи прокси-доступа — делает кампанию особенно прибыльной и устойчивой. Системным администраторам и разработчикам, использующим ComfyUI, настоятельно рекомендуется немедленно убедиться, что их экземпляры не открыты для публичного интернета без надежной аутентификации, применить все обновления безопасности для ComfyUI и ComfyUI-Manager, а также отслеживать свои облачные ресурсы на предмет необычных скачков использования ЦП/ГП или неожиданного сетевого трафика.
