كشف باحثون في الأمن السيبراني عن وجود دليل مفتوح على خادم Command-and-Control (C2) بالعنوان 38.255.43[.]60 على المنفذ 8081، يحتوي على نشر كامل لإطار Build Your Own Botnet (BYOB) المستخدم في الهجمات بعد الاختراق. وفقًا لتقرير Hunt.io، فإن الدليل المكشوف تضمن Droppers وStagers وPayloads إضافة إلى وحدات متعددة لما بعد الاستغلال، ما يعكس بنية متكاملة مصممة لتوفير وصول بعيد ومستمر عبر أنظمة Windows وLinux وmacOS.
سلسلة إصابة متعددة المراحل
التحليل أظهر أن الهجوم يعتمد على سلسلة إصابة متعددة المراحل:
- المرحلة الأولى تبدأ بـ Dropper يستخدم طبقات متعددة من الإخفاء لتجنب الكشف القائم على التواقيع.
- يقوم الـ Dropper بجلب وتشغيل Loader وسيط ينفذ بدوره فحوصات أمنية قبل نشر الحمولة الرئيسية.
- الحمولة الأساسية هي Remote Access Trojan (RAT) مزود بقدرات واسعة تشمل: تصعيد الامتيازات، تسجيل ضغطات المفاتيح، إنهاء العمليات، جمع رسائل البريد الإلكتروني، وفحص حركة الشبكة.
أهداف مزدوجة للهجوم
إلى جانب البنية الأساسية المرتبطة بالـ RAT، تم العثور على بنية إضافية مرتبطة بالجهة المهاجمة تستضيف حمولة خاصة بتعدين العملات الرقمية. هذا يشير إلى نهج مزدوج يهدف إلى:
- التجسس والسيطرة المستمرة عبر RAT.
- الاستغلال المالي المباشر عبر التعدين الخفي للعملات الرقمية على الأجهزة المصابة.
دلالات أمنية
هذا الاكتشاف يعكس خطورة ترك خوادم C2 مكشوفة، إذ يمنح الباحثين فرصة لرصد البنية الكاملة للهجوم، لكنه في الوقت نفسه يكشف عن مدى تطور المهاجمين في بناء سلاسل إصابة معقدة ومتعددة المراحل. كما أن الجمع بين التجسس والتعدين يوضح أن الجهات المهاجمة تسعى لتحقيق أهداف استخباراتية واقتصادية في آن واحد، ما يزيد من تعقيد مواجهة هذه التهديدات.
