Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công toàn cầu đang diễn ra, khai thác một điểm yếu đã biết trong Ray, một framework AI mã nguồn mở được sử dụng rộng rãi để quản lý các tác vụ điện toán phân tán. Chiến dịch này tận dụng lỗ hổng CVE-2023-48022 để lén lút chiếm quyền điều khiển các cụm điện toán AI mạnh mẽ và biến chúng thành các hoạt động khai thác tiền mã hóa.

Với tên gọi ShadowRay 2.0, cuộc tấn công này thể hiện sự leo thang đáng kể so với phát hiện ShadowRay ban đầu vào tháng 3 năm 2024. Các tác nhân đe dọa đang sử dụng các chiến thuật tinh vi để ẩn mình, đồng thời trích xuất giá trị tối đa từ hạ tầng bị xâm nhập.

Tổng quan về chiến dịch ShadowRay 2.0

Mục tiêu và Mức độ Phơi nhiễm

Mối đe dọa này đặc biệt đáng báo động bởi quy mô phơi nhiễm khổng lồ. Số lượng máy chủ Ray bị lộ trên toàn thế giới đã tăng từ hàng nghìn trong lần phát hiện ban đầu lên hơn 230.000 trường hợp hiện nay.

Nhiều trong số đó thuộc về các startup đang hoạt động, phòng thí nghiệm nghiên cứu và nhà cung cấp dịch vụ lưu trữ đám mây, tạo ra một bề mặt tấn công rộng lớn.

Phát hiện và Diễn biến

Các nhà phân tích bảo mật của Oligo Security đã xác định chiến dịch tấn công vào đầu tháng 11 năm 2025. Họ phát hiện rằng các tác nhân đe dọa với tên gọi IronErn440 đã vũ khí hóa các tính năng điều phối hợp pháp của Ray thành công cụ cho các cuộc tấn công tự lan truyền.

Ban đầu, các tác nhân tấn công đã sử dụng nền tảng DevOps GitLab để phân phối các payload tùy chỉnh, phù hợp với vị trí địa lý của từng nạn nhân. Sau khi GitLab gỡ bỏ kho lưu trữ độc hại vào ngày 5 tháng 11 năm 2025, các tác nhân đe dọa nhanh chóng chuyển hoạt động sang GitHub, thể hiện sự nhanh nhạy đáng kể trong hoạt động.

Đến ngày 10 tháng 11, một kho lưu trữ mới đã được thiết lập, và chiến dịch tiếp tục với mức độ tinh vi cao hơn.

Kỹ thuật Khai thác Lỗ hổng CVE-2023-48022

Giai đoạn Do thám và Truy cập Ban đầu

Cuộc tấn công diễn ra qua nhiều giai đoạn phối hợp. Nó bắt đầu bằng giai đoạn do thám sử dụng interact.sh, một nền tảng out-of-band cho phép kẻ tấn công xác định các máy chủ dễ bị tổn thương mà không cần quét truyền thống gây tiếng ồn.

Các tác nhân gửi các gói thăm dò nhắm mục tiêu vào Ray’s unprotected Jobs API, kích hoạt các callback từ các phiên bản dễ bị tấn công. Một khi mục tiêu được xác định, họ khai thác dashboard Ray không được xác thực để gửi các job độc hại, thực thi mã tùy ý với đặc quyền cụm.

Cơ chế Triển khai Payload Độc hại

Điểm đáng chú ý nhất là việc sử dụng các payload được tạo bởi AI. Kẻ tấn công triển khai mã Python tự động phát hiện các tài nguyên cụm có sẵn, tính toán phân bổ 60% CPU và GPU để tránh bị phát hiện ngay lập tức, sau đó chèn các trình khai thác tiền mã hóa được ngụy trang thành các tiến trình hệ thống hợp pháp.

Các payload này thể hiện khả năng xử lý lỗi và tự thích ứng tinh vi, cho thấy chúng có thể được tạo hoặc tinh chỉnh bằng các công cụ AI để tăng tốc phát triển payload.

Một đoạn mã quan trọng minh họa cơ chế lây nhiễm nhiều giai đoạn. Payload truy cập ban đầu sử dụng NodeAffinitySchedulingStrategy của Ray để liệt kê các node cụm và triển khai các script lây nhiễm đến từng node.

# Đoạn mã minh họa cơ chế lây nhiễm (giả định) 
# Đây là một ví dụ minh họa dựa trên mô tả, không phải mã khai thác thực tế.
import ray

def deploy_miner(node_ip):
    # Giả định triển khai script khai thác tới node cụ thể
    print(f"Deploying miner to {node_ip}")
    # Thực tế sẽ chứa logic để tải và thực thi mã độc

if __name__ == "__main__":
    ray.init()
    # Sử dụng NodeAffinitySchedulingStrategy để liệt kê và nhắm mục tiêu các node
    nodes = ray.nodes()
    for node in nodes:
        if node['State'] == 'ALIVE':
            deploy_miner(node['NodeManagerAddress'])
    print("Infection scripts deployed across the cluster.")

Duy trì Quyền truy cập và Che giấu

Kẻ tấn công thiết lập khả năng duy trì quyền truy cập thông qua nhiều cơ chế khác nhau: các tác vụ cron jobs thực thi cứ mỗi mười lăm phút, chiếm quyền kiểm soát dịch vụ systemd, và tiêm khóa SSH vào các tài khoản root.

Chúng che giấu các tiến trình độc hại bằng cách đổi tên chúng để giống như các tiến trình worker kernel hợp pháp như [kworker/0:0] và các dịch vụ dns-filter, ẩn mình một cách hiệu quả.

Đặc điểm Độc đáo của ShadowRay 2.0

Cạnh tranh giữa các Nhóm Tấn công

Điều làm cho chiến dịch này trở nên khác biệt là động lực cạnh tranh tích cực. Kẻ tấn công triển khai các script để phát hiện và chấm dứt các trình khai thác tiền mã hóa của đối thủ. Sau đó, chúng chặn các mining pool cạnh tranh thông qua các quy tắc iptables và sửa đổi file hosts.

Chúng thậm chí còn nhắm mục tiêu vào các pool trên các cổng cụ thể được sử dụng bởi các tác nhân đe dọa cạnh tranh, tiết lộ một hệ sinh thái ngầm nơi nhiều nhóm tội phạm chiến đấu để giành cùng một tài nguyên bị xâm nhập.

Thích ứng Hạ tầng và Cập nhật Liên tục

Khả năng thích ứng hạ tầng cũng đáng lo ngại. Đối với các nạn nhân ở Trung Quốc, kẻ tấn công phân phối các payload đặc thù theo khu vực thông qua các dịch vụ proxy để vượt qua các hạn chế mạng. Chúng sử dụng tính năng phát hiện địa lý qua ip-api.com, thực thi các script khác nhau cho mục tiêu ở Trung Quốc so với các mục tiêu quốc tế.

Các tác nhân liên tục cập nhật payload của mình thông qua các commit trên GitLab (mặc dù đã chuyển sang GitHub sau đó), coi hạ tầng như mã nguồn và cho phép phát triển kỹ thuật của chúng theo thời gian thực mà không cần triển khai lại cho máy nạn nhân. Để tìm hiểu thêm về chiến dịch này, bạn có thể tham khảo bài viết chi tiết từ Oligo Security: ShadowRay 2.0: Attackers Turn AI Against Itself.

Các Chỉ số Thỏa hiệp (IOCs)

Dưới đây là các chỉ số thỏa hiệp chính được xác định trong chiến dịch ShadowRay 2.0:

• Tên tác nhân đe dọa: IronErn440
• Lỗ hổng khai thác: CVE-2023-48022 (trong framework AI Ray)
• Công cụ do thám: interact.sh
• Kỹ thuật duy trì quyền truy cập: Cron jobs, chiếm quyền systemd, tiêm khóa SSH.
• Phương pháp che giấu tiến trình: Đổi tên tiến trình thành [kworker/0:0], dns-filter.
• Dịch vụ phát hiện địa lý: ip-api.com