حملة جديدة تستهدف خوادم MS SQL غير المؤمنة لتعدين العملات الرقمية

حملة جديدة تستهدف خوادم MS SQL غير المؤمنة لتعدين العملات الرقمية
حملة جديدة تستهدف خوادم MS SQL غير المؤمنة لتعدين العملات الرقمية
شارك هذا الخبر

كشف باحثون أمنيون عن حملة إلكترونية جديدة تستهدف خوادم Microsoft SQL (MS SQL) غير المؤمنة جيداً، حيث يستغل المهاجمون هذه الأنظمة الضعيفة لتثبيت برامج تعدين عملات رقمية مثل PKT Classic وMonero.

آلية الهجوم وتفاصيله التقنية:

  1. التسلل الأولي:
    • استهداف خوادم MS SQL المعرضة للاختراق
    • استغلال إعدادات خاطئة أو ثغرات أمنية غير مصححة
  2. تنزيل أدوات التعدين:
    • استخدام الأداة الشرعية certutil (المعروفة باسم LOLBin) لتنزيل برنامج تعدين PKT
    • تشغيل cmd.exe لتنفيذ أوامر PowerShell خبيثة
    • تحميل برنامج XMRig الشهير لتعدين Monero
  3. إستراتيجية التخفي:
    • استخدام أدوات نظام شرعية (LOLBins) لتجنب الكشف
    • تنفيذ العمليات في الخلفية لتقليل فرص الاكتشاف

لماذا تعتبر هذه الحملة خطيرة؟

✔ استنزاف موارد الخوادم مما يؤثر على أداء الأنظمة
✔ تكاليف تشغيلية باهظة بسبب الاستهلاك العالي للطاقة
✔ تهديد أمن البيانات حيث تصبح الخوادم بوابة لهجمات أخرى
✔ صعوبة الاكتشاف بسبب استخدام أدوات نظام مشروعة

خلفية عن العملات المستهدفة في التعدين:

1. PKT Classic:

  • عملة رقمية تركز على تحسين بنية الإنترنت الأساسية
  • تعتمد على خوارزمية إثبات العمل (PoW)
  • يمكن تعدينها باستخدام وحدات المعالجة المركزية (CPUs)

2. Monero (XMR):

  • أشهر عملة تركز على الخصوصية
  • تستخدم خوارزمية RandomX المصممة خصيصاً لوحدات المعالجة المركزية
  • المفضلة لدى المجرمين الإلكترونيين بسبب صعوبة تتبعها

نصائح أمنية عاجلة لحماية خوادم MS SQL:

🔒 تحديث خوادم SQL Server بانتظام مع تثبيت جميع التصحيحات
🔒 مراجعة إعدادات الأمان وتقليل الصلاحيات الممنوحة
🔒 تعطيل الوظائف غير الضرورية مثل xp_cmdshell
🔒 مراقبة نشاط PowerShell واكتشاف الأوامر المشبوهة
🔒 تنفيذ حلول لمنع التعدين الخبيث في بيئة السحابة

كيفية اكتشاف الإصابة بالتعدين الخبيث:

  1. مراقبة أداء الخادم:
    • ارتفاع غير مبرر في استخدام وحدة المعالجة المركزية
    • زيادة درجة حرارة المعدات
  2. فحص العمليات الجارية:
    • البحث عن عمليات powershell.exe أو certutil غير معتادة
    • اكتشاف اتصالات شبكية إلى عناوين IP مشبوهة
  3. تحليل السجلات:
    • مراجعة سجلات SQL Server لاكتشاف أنشطة غير عادية
    • فحص سجلات Windows Event Viewer

استجابة مايكروسوفت والإجراءات المضادة:

أوصت مايكروسوفت بعدة إجراءات لحماية خوادم SQL Server:

  • استخدام Microsoft Defender for SQL لاكتشاف التهديدات
  • تنفيذ مبدأ أقل صلاحية لجميع الحسابات
  • تفعيل تدقيق الأمان المتقدم على جميع الخوادم
  • استخدام جدران الحماية لتقييد الوصول إلى المنافذ الحرجة

مستقبل هجمات التعدين الخبيث:

تشير هذه الحملة إلى استمرار تطور أساليب المهاجمين في:

  • استهداف البنية التحتية المؤسسية بدلاً من أجهزة الأفراد
  • تحسين تقنيات التخفي باستخدام أدوات نظام شرعية
  • تنويع العملات المستهدفة لزيادة الأرباح
وسوم
محمد وهبى
محمد وهبى
المقالات: 105

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة