Новости Критическая угроза 9,8 из 10: новый ботнет захватывает ИИ-серверы по всему миру

[NewsMaker]

Пока ты читаешь этот материал, кто-то уже слушает твои порты.

---

---

Внимание специалистов в области информационной безопасности привлекла новая вредоносная кампания, в рамках которой активно эксплуатируется Для просмотра ссылки Войди или Зарегистрируйся в платформе Langflow. Через неё злоумышленники распространяют ботнет Flodrix — усовершенствованный вариант уже известной вредоносной программы LeetHozer, связанной с группировкой Для просмотра ссылки Войди или Зарегистрируйся .

Уязвимость Для просмотра ссылки Войди или Зарегистрируйся , получившая 9.8 баллов по шкале CVSS, представляет собой отсутствие механизма аутентификации в Langflow — визуальной среде разработки ИИ-приложений на Python. Благодаря этой ошибке, атакующий может удалённо выполнять произвольный код на сервере, отправив специально сформированный HTTP-запрос. Проблема была устранена в версии Langflow 1.3.0, выпущенной в марте 2025 года.

Тем не менее, несмотря на наличие исправления, Для просмотра ссылки Войди или Зарегистрируйся продолжает активно эксплуатироваться. В мае Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) Для просмотра ссылки Войди или Зарегистрируйся этот инцидент в свой перечень подтверждённых угроз, а специалисты SANS Institute зафиксировали попытки эксплуатации на своих honeypot-серверах.

Согласно Для просмотра ссылки Войди или Зарегистрируйся от Trend Micro, злоумышленники используют общедоступный Для просмотра ссылки Войди или Зарегистрируйся - Для просмотра ссылки Войди или Зарегистрируйся , чтобы проводить разведку уязвимых экземпляров Langflow, доступных из интернета. Затем через уязвимость загружается shell-скрипт, который устанавливает Flodrix с удалённого сервера по адресу 80.66.75[.]121:25565. Установка осуществляется прямо в контексте сервера, так как в Langflow отсутствует проверка входных данных и механизм песочницы.

Flodrix после установки инициирует соединение с командным сервером через TCP, принимая команды для проведения Для просмотра ссылки Войди или Зарегистрируйся на выбранные IP-адреса. Также предусмотрена поддержка анонимных соединений через сеть TOR, что усложняет отслеживание действий вредоносной программы.

Отдельно подчёркивается, что инфраструктура атаки находится в процессе активной доработки. Исследователи обнаружили на том же хосте, с которого загружается Flodrix, иные скрипты-загрузчики, что указывает на масштабную кампанию с несколькими векторами распространения.

Для просмотра ссылки Войди или Зарегистрируйся Flodrix в своей новой версии демонстрирует значительные усовершенствования. Он способен удалять собственные следы, скрывать адреса командных серверов, а также использовать шифрование для скрытия типа DDoS-атак. Вредонос анализирует активные процессы на заражённой системе, обращаясь к директории /proc, что может свидетельствовать о попытках профилирования машин для более целенаправленных атак.

Также отмечается, что цель кампании может включать не только массовое заражение, но и выявление серверов с высокой значимостью, которые в дальнейшем будут использоваться для более сложных и разрушительных атак. В сочетании с масштабом распространения и возможностями сокрытия, Flodrix представляет собой существенную угрозу для инфраструктур, использующих устаревшие версии Langflow.