NullBulge APT IOCs

Компания SentinelLabs опубликовала отчет о NullBulge, новой киберпреступной группировке, нацеленной на компании, занимающиеся искусственным интеллектом и играми, и ответственной за публикацию данных, якобы украденных из внутренних коммуникаций компании Disney.

NullBulge APT

Группа утверждает, что она выступает за искусство и против ИИ, но, по мнению SentinelLabs, деятельность NullBulge имеет более финансовую подоплеку.
NullBulge использует цепочку поставок программного обеспечения, внедряя вредоносный код в общедоступные репозитории на Github, Hugging Face и Reddit, заманивая жертв импортировать вредоносные библиотеки или мод-паки, используемые в игровом и модельном ПО. Группа рекламирует свои взломы через собственный блог и спорадически в темах на 4chan.

Несколько кампаний NullBulge были замечены SentinelLabs. В мае и июне 2024 года группа использовала GitHub и Hugging Face, чтобы атаковать инструменты и платформы ИИ, взламывая легитимные расширения и программы, такие как ComfyUI_LLMVISION и BeamNG, и создавая поддельные, вредоносные инструменты, такие как «SillyTavern Character Generator». Некоторые из этих кампаний осуществляют утечку данных через веб-хук Discord, а другие используют дополнительные вредоносные программы, такие как троян удаленного доступа (RAT) Async и Xworm. NullBulge также использовала Async RAT и Xworm для последующих вымогательств с помощью пользовательских полезных нагрузок LockBit, созданных с помощью LockBit 3.0.

Самой известной деятельностью NullBulge на сегодняшний день является публикация примерно 1,2 терабайта информации из внутренней переписки Disney в Slack. По словам представителей группы, первоначальным вектором доступа для этой атаки послужили скомпрометированные учетные данные корпоративной учетной записи. По данным MSN, среди утечек оказались запатентованный компьютерный код, информация о нереализованных проектах и оценки соискателей.

Indicators of Compromise

IPv4

• 86.107.168.9

Domains

• group.goocasino.org
• nullbulge.co
• nullbulge.com
• nullbulge.se

Onion domains

• nullblgtk7dwzpfklgktzll27ovvnj7pvqkoprmhubnnb32qcbmcpgid.onion

SHA1

• 0cbac9e999094d8a3bd3da985c57031dd7614f20
• 0cd5dc12bca41f6667547aa10b9cf1d989ba30a0
• 28b5aaab8fa92aeade193dc13feca491559fc88f
• 2a8951d35e853b2c2fd5753b686dd132f20ac355
• 2d1dca9c10996143b698a9351d1eb446c19f92a7
• 304f71ccf9d533d0cdeba97546addcac6d6b53e7
• 3e417d9bb9f6ce10b9c66b468b9fe79d8f06c36b
• 3f6c619bdc7d931a9a9f82dfc77963a02ab9c2bf
• 4b53022bf125bd789ef43271666ac960f841c4f9
• 4fdc357f1dfc54a19e31c210f0783dffc77039d9
• 5a18ba89c118a7c31f3e8f674727da08779421ce
• 5c61e08914d4108aa52401412a61ddbbb68ca7cc
• 705d068fb2394be5ea3cb8ba95852f4a764653a9
• 756e6c96d1dd75e4d27af7c36da751ab496cedb8
• 804a1d0c4a280b18e778e4b97f85562fa6d5a4e6
• 843d0df759ffd79b00f0adef3371e003a3539977
• 886e3667273e50a7295224332084d7fde8836546
• 8899fe6ecfe7b517a4c80ebb3b5c50e6e93b7294
• 89d9b7c3eff0a15dc9dbbfe2163de7d5e9479f58
• 93460d0789dce9cf65a90e542424b0ac057e1dc5
• 9eb83ab3f53e99cdc9948a6123c7c90fad9e3991
• bca6d4ab71100b0ab353b83e9eb6274bb018644e
• c6a884dcf21c44de3e83427a28428c24582a8b6f
• c8e93fc737e6c7822de62a969e9c0048847dabc5
• dcb47900458692589a594a293c1c7c2559cc4cbe
• de256f9d30b0dca87f8127323271f7196fe0f262
• ec03fd1551d31486e2f925d9c2db3b87ffcd7018
• f37da01783982b7b305996a23f8951693eb78f72