قراصنة يستغلون ثغرة خطيرة في PHP لنشر Quasar RAT وعمال XMRig

قراصنة يستغلون ثغرة خطيرة في PHP لنشر Quasar RAT وعمال XMRig
قراصنة يستغلون ثغرة خطيرة في PHP لنشر Quasar RAT وعمال XMRig
شارك هذا الخبر

اكتشف خبراء الأمن السيبراني استغلال قراصنة لثغرة أمنية خطيرة في PHP لنشر برمجيات تعدين العملات الرقمية وأحصنة طروادة للتحكم عن بعد (RATs)، مثل Quasar RAT.

تفاصيل الثغرة الأمنية (CVE-2024-4577)

تم تصنيف الثغرة الأمنية تحت المعرف CVE-2024-4577، وهي ثغرة حقن وسيطات تؤثر على أنظمة Windows التي تعمل بوضع CGI في PHP، ما يتيح للمهاجمين تنفيذ أوامر برمجية عن بُعد.

Bitdefender، شركة الأمن السيبراني الرائدة، رصدت ارتفاعًا في محاولات استغلال هذه الثغرة منذ أواخر العام الماضي، حيث سجلت أعلى نسبة استهداف في:

  • تايوان (54.65%)
  • هونغ كونغ (27.06%)
  • البرازيل (16.39%)
  • اليابان (1.57%)
  • الهند (0.33%)

أساليب الهجوم المستخدمة

تشير التقارير إلى أن 15% من الهجمات المكتشفة كانت اختبارات أولية للتحقق من وجود الثغرة، باستخدام أوامر لمعرفة المستخدم الحالي، ولاختبار تنفيذ الأوامر، كما استخدم القراصنة أوامر أخرى لجمع معلومات عن الأنظمة المستهدفة، بما في ذلك:

  • استكشاف العمليات الجارية
  • تحليل الشبكات
  • جمع بيانات المستخدمين والمجالات والبيانات الوصفية للنظام

استغلال الثغرة في تعدين العملات الرقمية

صرّح مارتن زوغيك، مدير الحلول التقنية في Bitdefender، بأن 5% على الأقل من الهجمات المكتشفة أدت إلى نشر XMRig، وهو أحد برمجيات تعدين العملات الرقمية.

كما لوحظت حملة أخرى أصغر تستغل الثغرة لنشر Nicehash Miner، وهو نظام يتيح للمستخدمين بيع قدرة المعالجة الحاسوبية مقابل العملات الرقمية. لتجنب الاكتشاف، تم إخفاء عمليات التعدين تحت أسماء تطبيقات مشروعة.

نشر Quasar RAT وأدوات التحكم عن بُعد

لم تقتصر الهجمات على تعدين العملات الرقمية، حيث استغل القراصنة الثغرة لنشر Quasar RAT، وهو برنامج مفتوح المصدر للتحكم في الأجهزة عن بعد، إضافةً إلى تنفيذ ملفات MSI الضارة المخزنة على خوادم بعيدة باستخدام cmd.exe.

ظاهرة غريبة: تعديل إعدادات الجدار الناري

في تطور مثير للاهتمام، لاحظت Bitdefender محاولات من قبل بعض المهاجمين لتعديل إعدادات الجدار الناري على الخوادم المصابة لحجب عناوين IP مرتبطة بمجموعات قرصنة منافسة.

قد يشير هذا إلى تنافس بين مجموعات التشفير الخفي للسيطرة على الموارد المصابة ومنع الآخرين من استغلالها، وهو تكتيك شائع في هجمات التعدين الخفي حيث يتم إيقاف عمليات التعدين المنافسة قبل نشر البرمجيات الخاصة بالمهاجمين الجدد.

توصيات أمنية

يأتي هذا التطور بعد وقت قصير من كشف شركة Cisco Talos عن حملة تستغل نفس الثغرة لاستهداف مؤسسات يابانية منذ بداية العام.

كيفية الحماية من هذه التهديدات؟

ينصح خبراء الأمن السيبراني باتخاذ الإجراءات التالية:
تحديث PHP إلى أحدث إصدار لمنع استغلال الثغرة.
الحد من استخدام أدوات الهجوم الحي (LOTL)، مثل PowerShell، بحيث تكون متاحة فقط للمستخدمين المصرح لهم مثل المسؤولين.

وسوم
محمد وهبى
محمد وهبى
المقالات: 106

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة