NullBulge APT IOCs

security

Компания SentinelLabs опубликовала отчет о NullBulge, новой киберпреступной группировке, нацеленной на компании, занимающиеся искусственным интеллектом и играми, и ответственной за публикацию данных, якобы украденных из внутренних коммуникаций компании Disney.

NullBulge APT

Группа утверждает, что она выступает за искусство и против ИИ, но, по мнению SentinelLabs, деятельность NullBulge имеет более финансовую подоплеку.
NullBulge использует цепочку поставок программного обеспечения, внедряя вредоносный код в общедоступные репозитории на Github, Hugging Face и Reddit, заманивая жертв импортировать вредоносные библиотеки или мод-паки, используемые в игровом и модельном ПО. Группа рекламирует свои взломы через собственный блог и спорадически в темах на 4chan.

Несколько кампаний NullBulge были замечены SentinelLabs. В мае и июне 2024 года группа использовала GitHub и Hugging Face, чтобы атаковать инструменты и платформы ИИ, взламывая легитимные расширения и программы, такие как ComfyUI_LLMVISION и BeamNG, и создавая поддельные, вредоносные инструменты, такие как «SillyTavern Character Generator». Некоторые из этих кампаний осуществляют утечку данных через веб-хук Discord, а другие используют дополнительные вредоносные программы, такие как троян удаленного доступа (RAT) Async и Xworm. NullBulge также использовала Async RAT и Xworm для последующих вымогательств с помощью пользовательских полезных нагрузок LockBit, созданных с помощью LockBit 3.0.

Самой известной деятельностью NullBulge на сегодняшний день является публикация примерно 1,2 терабайта информации из внутренней переписки Disney в Slack. По словам представителей группы, первоначальным вектором доступа для этой атаки послужили скомпрометированные учетные данные корпоративной учетной записи. По данным MSN, среди утечек оказались запатентованный компьютерный код, информация о нереализованных проектах и оценки соискателей.

Indicators of Compromise

IPv4

  • 86.107.168.9

Domains

  • group.goocasino.org
  • nullbulge.co
  • nullbulge.com
  • nullbulge.se

Onion domains

  • nullblgtk7dwzpfklgktzll27ovvnj7pvqkoprmhubnnb32qcbmcpgid.onion

SHA1

  • 0cbac9e999094d8a3bd3da985c57031dd7614f20
  • 0cd5dc12bca41f6667547aa10b9cf1d989ba30a0
  • 28b5aaab8fa92aeade193dc13feca491559fc88f
  • 2a8951d35e853b2c2fd5753b686dd132f20ac355
  • 2d1dca9c10996143b698a9351d1eb446c19f92a7
  • 304f71ccf9d533d0cdeba97546addcac6d6b53e7
  • 3e417d9bb9f6ce10b9c66b468b9fe79d8f06c36b
  • 3f6c619bdc7d931a9a9f82dfc77963a02ab9c2bf
  • 4b53022bf125bd789ef43271666ac960f841c4f9
  • 4fdc357f1dfc54a19e31c210f0783dffc77039d9
  • 5a18ba89c118a7c31f3e8f674727da08779421ce
  • 5c61e08914d4108aa52401412a61ddbbb68ca7cc
  • 705d068fb2394be5ea3cb8ba95852f4a764653a9
  • 756e6c96d1dd75e4d27af7c36da751ab496cedb8
  • 804a1d0c4a280b18e778e4b97f85562fa6d5a4e6
  • 843d0df759ffd79b00f0adef3371e003a3539977
  • 886e3667273e50a7295224332084d7fde8836546
  • 8899fe6ecfe7b517a4c80ebb3b5c50e6e93b7294
  • 89d9b7c3eff0a15dc9dbbfe2163de7d5e9479f58
  • 93460d0789dce9cf65a90e542424b0ac057e1dc5
  • 9eb83ab3f53e99cdc9948a6123c7c90fad9e3991
  • bca6d4ab71100b0ab353b83e9eb6274bb018644e
  • c6a884dcf21c44de3e83427a28428c24582a8b6f
  • c8e93fc737e6c7822de62a969e9c0048847dabc5
  • dcb47900458692589a594a293c1c7c2559cc4cbe
  • de256f9d30b0dca87f8127323271f7196fe0f262
  • ec03fd1551d31486e2f925d9c2db3b87ffcd7018
  • f37da01783982b7b305996a23f8951693eb78f72
Комментарии: 0