Russian OSINT

🐋❗️🥷 Кибербезопасники из AnyRun опубликовали анализ нашумевшей кибератаки хакеров на Deepseek

Наткнулся на интересную статью в блоге у 💻Any.run, где разбираются подробности кибератаки на Deepseek. Ранее об этом писали 🇨🇳китайские ресурсы — там речь шла про 🦠RapperBot и 🦠 HailBot.

Как мы помним, в январе Deepseek с барского плеча снизили рыночную стоимость топовых американских ИТ-гигантов почти на $1 триллион. На волне популярности и хайпа к одной из лучших китайских 🤖ИИ-компаний тут же возникли вопросики по поводу безопасности и стабильности инфраструктуры. Неизвестные хакеры начали наваливать по DeepSeek от души. Да так, что платформе пришлось временно закрыть регистрацию новых пользователей из-за мощного дудоса (DDoS) и кибератак.

🔻27 января: DeepSeek публично заявила о «масштабных злонамеренных атаках» на свою инфраструктуру и закрыла регу.

🔻28 января: Wiz сообщили об обнаружении утечки базы данных ClickHouse, связанной с DeepSeek, в которой содержались истории чатов пользователей и API-ключи. Утечка, скорее всего, не связана с кибератаками, о которых упоминает DeepSeek.

🔻29 января: Global Times выяснили, что с начала января DeepSeek регулярно подвергалась DDoS-атакам. С 22 января начались атаки с использованием HTTP-прокси, которые достигли своего пика 28 января. Вся эта история параллельно сопровождалась попытками брутфорса с IP-адресов из 🇺🇸США.

🔻30 января: Основываясь на отчете XLab, Global Times сообщила, что в последней волне атак на DeepSeek участвовали две крупные бот-сети - HailBot и RapperBot. Это варианты печально известной бот-сети Mirai. По данным специалистов, злоумышленники использовали 16 командно-контрольных серверов (C2) и более 100 C2-портов.

HailBot получил своё название в честь строки «hail china mainland». Главный его функционал это масштабные DDoS-атаки с использованием уязвимостей (например, CVE-2017-17215 в некоторых устройствах Huawei). Скомпрометировав внушительное количество систем, ботнет генерирует огромный поток трафика, который «ложит» инфраструктуру жертвы. При запуске HailBot в интерактивной песочнице специалисты наблюдали характерные сигнатуры в сетевом трафике и мгновенную детекцию угрозы средствами Suricata IDS.

RapperBot, в свою очередь, ориентирован на SSH-брутфорс. После успешного проникновения вредонос заменяет файл ~/.ssh/authorized_keys своим публичным ключом и создаёт суперпользователя «suhelper» путём правок в /etc/passwd и /etc/shadow. Дополнительно он запускает криптомайнер 💴XMRig, нагружая 🔥📝процессор жертвы.

Анализ сессии в ANY RUN показал, что RapperBot генерирует около 😰139  405 подключений всего за три минуты. Разумеется, его легко обнаружить специальными средствами и песочницами (разумеется, Anyrun рекламируют свой продукт) из-за такого объема сетевого трафика.

Эксперты признают, что даже топовые компании не всегда могут выдержать такой комбинированный натиск, поэтому никто не может быть застрахован на 100%. Традиционно рекомендуется комплексно работать над защитой инфраструктуры, минимизировать риски и вовремя принимать организационные меры по недопущению подобных событий.

🔎 Анализ в песочнице AnyRun:
https://app.any.run/tasks/3d9ee5c4-ef6d-4317-b11d-8421e295aeef

✋ @Russian_OSINT

Please open Telegram to view this post

VIEW IN TELEGRAM

www.group-telegram.com/it/Russian_OSINT.com/5182

8.2K viewsFeb 7 at 06:52

🐋❗️🥷 Кибербезопасники из AnyRun опубликовали анализ нашумевшей кибератаки хакеров на Deepseek

Наткнулся на интересную статью в блоге у 💻Any.run, где разбираются подробности кибератаки на Deepseek. Ранее об этом писали 🇨🇳китайские ресурсы — там речь шла про 🦠RapperBot и 🦠 HailBot.

Как мы помним, в январе Deepseek с барского плеча снизили рыночную стоимость топовых американских ИТ-гигантов почти на $1 триллион. На волне популярности и хайпа к одной из лучших китайских 🤖ИИ-компаний тут же возникли вопросики по поводу безопасности и стабильности инфраструктуры. Неизвестные хакеры начали наваливать по DeepSeek от души. Да так, что платформе пришлось временно закрыть регистрацию новых пользователей из-за мощного дудоса (DDoS) и кибератак.

🔻27 января: DeepSeek публично заявила о «масштабных злонамеренных атаках» на свою инфраструктуру и закрыла регу.

🔻28 января: Wiz сообщили об обнаружении утечки базы данных ClickHouse, связанной с DeepSeek, в которой содержались истории чатов пользователей и API-ключи. Утечка, скорее всего, не связана с кибератаками, о которых упоминает DeepSeek.

🔻29 января: Global Times выяснили, что с начала января DeepSeek регулярно подвергалась DDoS-атакам. С 22 января начались атаки с использованием HTTP-прокси, которые достигли своего пика 28 января. Вся эта история параллельно сопровождалась попытками брутфорса с IP-адресов из 🇺🇸США.

🔻30 января: Основываясь на отчете XLab, Global Times сообщила, что в последней волне атак на DeepSeek участвовали две крупные бот-сети - HailBot и RapperBot. Это варианты печально известной бот-сети Mirai. По данным специалистов, злоумышленники использовали 16 командно-контрольных серверов (C2) и более 100 C2-портов.

HailBot получил своё название в честь строки «hail china mainland». Главный его функционал это масштабные DDoS-атаки с использованием уязвимостей (например, CVE-2017-17215 в некоторых устройствах Huawei). Скомпрометировав внушительное количество систем, ботнет генерирует огромный поток трафика, который «ложит» инфраструктуру жертвы. При запуске HailBot в интерактивной песочнице специалисты наблюдали характерные сигнатуры в сетевом трафике и мгновенную детекцию угрозы средствами Suricata IDS.

RapperBot, в свою очередь, ориентирован на SSH-брутфорс. После успешного проникновения вредонос заменяет файл ~/.ssh/authorized_keys своим публичным ключом и создаёт суперпользователя «suhelper» путём правок в /etc/passwd и /etc/shadow. Дополнительно он запускает криптомайнер 💴XMRig, нагружая 🔥📝процессор жертвы.

Анализ сессии в ANY RUN показал, что RapperBot генерирует около 😰139  405 подключений всего за три минуты. Разумеется, его легко обнаружить специальными средствами и песочницами (разумеется, Anyrun рекламируют свой продукт) из-за такого объема сетевого трафика.

Эксперты признают, что даже топовые компании не всегда могут выдержать такой комбинированный натиск, поэтому никто не может быть застрахован на 100%. Традиционно рекомендуется комплексно работать над защитой инфраструктуры, минимизировать риски и вовремя принимать организационные меры по недопущению подобных событий.

🔎 Анализ в песочнице AnyRun:
https://app.any.run/tasks/3d9ee5c4-ef6d-4317-b11d-8421e295aeef

✋ @Russian_OSINT