Back to Blog

บอตเน็ต NadMesh ไล่ล่าบริการ AI ที่เปิดเผยบนอินเทอร์เน็ต ขโมยคีย์ AWS และโทเคน Kubernetes

ค้นพบบอตเน็ต NadMesh ที่โจมตีบริการ AI ที่เปิดเผยบนอินเทอร์เน็ต ขโมยคีย์ AWS และโทเคน Kubernetes ภัยคุกคามใหม่ที่องค์กรต้องเฝ้าระวัง

Sales
1 min read
บอตเน็ต NadMesh ไล่ล่าบริการ AI ที่เปิดเผยบนอินเทอร์เน็ต ขโมยคีย์ AWS และโทเคน Kubernetes

ในเดือนกรกฎาคมที่ผ่านมา นักวิจัยด้านความปลอดภัยได้ค้นพบบอตเน็ตประเภท Go botnet ชื่อว่า NadMesh ที่พุ่งเป้าโจมตีบริการ AI ที่ถูกเปิดเผยไว้บนอินเทอร์เน็ต แดชบอร์ดของผู้โจมตีเผยว่าสามารถรวบรวมคีย์ AWS ได้มากถึง 3,811 รายการแล้ว

บอตเน็ตนี้ใช้ Shodan harvester เพื่อสแกนค้นหาเป้าหมายอย่างต่อเนื่อง โดยมุ่งไปที่แพลตฟอร์มยอดนิยมอย่าง ComfyUI, Ollama, n8n, Open WebUI, Langflow และ Gradio ซึ่งเป็นเครื่องมือสร้างภาพ ผู้รันโมเดลในพื้นที่ และตัวสร้างเวิร์กโฟลว์ที่ทีมพัฒนามักตั้งค่าอย่างรวดเร็วแต่ลืมตั้งค่าไฟร์วอลล์



กลไกการทำงานของ NadMesh


NadMesh ใช้เทคนิคการสแกนจาก Shodan เพื่อรวบรวมรายชื่อบริการ AI ที่เชื่อมต่ออินเทอร์เน็ตโดยไม่มีการป้องกัน จากนั้นจะพยายามเจาะระบบและขโมยข้อมูลสำคัญ

เมื่อบอตเน็ตเข้าถึงระบบได้แล้ว มันจะค้นหาไฟล์คอนฟิกที่เก็บคีย์ AWS และโทเคน Kubernetes ซึ่งเป็นกุญแจสำคัญในการเข้าถึงทรัพยากรคลาวด์และคอนเทนเนอร์



เป้าหมายคือบริการ AI ที่ไม่ปลอดภัย


บริการ AI อย่าง ComfyUI และ Ollama มักถูกตั้งค่าเพื่อการพัฒนาอย่างรวดเร็ว แต่ความปลอดภัยมักถูกมองข้าม ผู้ดูแลระบบหลายคนไม่ทราบว่าการเปิดพอร์ตเหล่านี้สู่สาธารณะโดยไม่มีมาตรการป้องกันอาจนำไปสู่การโจมตีได้

การโจมตีครั้งนี้ชี้ให้เห็นถึงความจำเป็นในการป้องกันบริการ AI ที่เปิดเผยบนเครือข่าย โดยเฉพาะองค์กรที่ใช้คลาวด์และ Kubernetes



ผลกระทบต่อองค์กร


การรั่วไหลของคีย์ AWS และโทเคน Kubernetes อาจนำไปสู่การเข้าถึงระบบโดยไม่ได้รับอนุญาต การขโมยข้อมูล หรือการใช้ทรัพยากรคลาวด์เพื่อกิจกรรมที่ผิดกฎหมาย

องค์กรที่ใช้บริการ AI ควรตรวจสอบการตั้งค่าความปลอดภัยของตนเองทันที และพิจารณาใช้โซลูชันการป้องกันจากผู้เชี่ยวชาญ



แนวทางป้องกัน


เพื่อป้องกันภัยคุกคามจากบอตเน็ต NadMesh องค์กรควรปิดพอร์ตที่ไม่จำเป็น ใช้ไฟร์วอลล์ และตั้งค่าการยืนยันตัวตนหลายชั้นสำหรับบริการ AI ที่เชื่อมต่ออินเทอร์เน็ต

การอัปเดตซอฟต์แวร์และการตรวจสอบบันทึกการเข้าถึงอย่างสม่ำเสมอจะช่วยตรวจจับกิจกรรมที่น่าสงสัยได้ตั้งแต่เนิ่นๆ



Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINE
ดูสินค้าทั้งหมด