导语:该扫描基础设施此前曾与广泛的漏洞利用活动有关联,这表明此次枚举是有组织侦察工作的一部分,目的是编目可访问的 LLM 服务。
黑客正在系统性地搜寻配置不当的代理服务器,试图通过这些服务器获取对商用大语言模型(LLM)服务的访问权限。
在这场始于2025年12月下旬的持续攻击活动中,攻击者已探测了超过73个LLM端点,并生成了8万多个会话。
据威胁监测平台GreyNoise称,这些威胁组织使用”低噪声“提示词来查询端点,试图在不触发安全警报的情况下,确认所访问的AI模型类型。
灰帽行动
GreyNoise 在一份报告中指出,在过去四个月里,其Ollama蜜罐共捕获了91,403次攻击,这些攻击分属两个截然不同的活动。
其中一个行动始于10月,目前仍在活跃中,在圣诞节前后的48小时内出现了1,688次会话的峰值。该行动利用 服务器端请求伪造(SSRF)漏洞,迫使服务器连接到攻击者控制的外部基础设施。
该行动背后的攻击者通过利用 Ollama 的模型拉取功能,注入恶意注册表 URL,并通过 MediaURL 参数集成 Twilio SMS 网络钩子来实现其目标。
然而,基于所使用的工具可以判断出,该活动可能源自安全研究人员或漏洞赏金猎人,因为他们使用了 ProjectDiscovery 的OAST(带外应用安全测试)基础设施,这通常用于漏洞评估。
遥测数据显示,该活动源自27个国家的62个IP地址,这些地址表现出类似 VPS 的特征,而非僵尸网络操作的迹象。
活动时间轴
第二个活动始于12月28日,研究员检测到大规模的枚举行为,旨在识别暴露或配置不当的 LLM 端点。 在11天内,该活动生成了80,469个会话,两个IP地址使用 OpenAI 兼容格式和 Google Gemini API 格式,系统性地探测了73个以上的模型端点。
目标模型列表涵盖了所有主要提供商的产品,包括:
·OpenAI (GPT-4o 及变体)
·Anthropic (Claude Sonnet, Opus, Haiku)
·Meta (Llama 3.x)
·DeepSeek (DeepSeek-R1)
·Google (Gemini)
·Mistral
·Alibaba (Qwen)
·xAI (Grok)
为了在测试对 LLM 服务的访问时避免触发安全警报,攻击者使用了无害的查询,例如简短的问候语、空输入或事实性问题。
该扫描基础设施此前曾与广泛的漏洞利用活动有关联,这表明此次活动是有组织侦察工作的一部分,目的是编目可访问的 LLM 服务。报告并未声称在发现后观察到了利用、数据盗窃或模型滥用行为,但该活动仍表明存在恶意意图。
研究人员称:8万个枚举请求代表了一种投入,如果没有使用该地图的计划,威胁组织不会以这种规模绘制基础设施地图。
为了防御此类活动,建议将 Ollama 模型拉取限制在受信任的注册表,应用出口过滤,并在 DNS 级别阻止已知的 OAST 回调域。 针对其的措施包括对可疑的 ASN 实施速率限制,以及监控与自动化扫描工具相关的 JA4 网络指纹。
文章来源自:https://www.bleepingcomputer.com/news/security/hackers-target-misconfigured-proxies-to-access-paid-llm-services/如若转载,请注明原文地址
