اكتشف باحثون في الأمن السيبراني نسخة مطورة من حملة خبيثة حديثة تستغل شبكة TOR لتنفيذ هجمات cryptojacking عبر واجهات Docker غير المؤمنة. وأوضحت شركة Akamai، التي رصدت النشاط الشهر الماضي، أن البرمجية صُممت لحجب وصول جهات أخرى إلى واجهات Docker المكشوفة على الإنترنت.
ويأتي هذا الاكتشاف بعد تقرير لشركة Trend Micro في يونيو 2025 كشف عن حملة استهدفت خوادم Docker غير المؤمنة لتنزيل برنامج التعدين XMRig باستخدام نطاقات TOR لإخفاء الهوية.
سلسلة الهجوم وآليات الانتشار
تبدأ السلسلة باختراق واجهات Docker المعرّضة، ثم تشغيل حاوية جديدة مبنية على صورة Alpine Docker وربط نظام الملفات الأساسي بها. يعقب ذلك تشغيل حمولة مشفّرة بـBase64 لتنزيل سكربت خبيث من نطاق .onion.
السكربت يعمد إلى تعديل إعدادات SSH لضمان الاستمرارية، ويثبت أدوات مثل masscan وtorsocks لتنفيذ استطلاع والتواصل مع خادم تحكم وسيطرة (C2). كما يجلب ملفًا ثانويًا مضغوطًا من نطاق TOR آخر.
يُذكر أن الملف التنفيذي مكتوب بلغة Go ويحتوي على شيفرة تضم رمزًا تعبيريًا للإشارة إلى المستخدمين المتصلين، ما يرجح أنه صُمم باستخدام نموذج لغوي ضخم (LLM). ويقوم الملف بتشغيل Masscan لمسح الإنترنت بحثًا عن خدمات Docker مفتوحة على المنفذ 2375 ونشر العدوى إليها عبر نفس العملية.
قدرات إضافية محتملة
يتضمن الكود أيضًا آليات أولية لاستغلال المنفذ 23 (Telnet) عبر كلمات مرور افتراضية للأجهزة، والمنفذ 9222 الخاص بالتصحيح عن بعد لمتصفح Chromium، وهو منفذ سبق أن استغلته مجموعات تهديد كورية شمالية لسرقة بيانات ملفات تعريف الارتباط. وعلى الرغم من أن هذه القدرات غير مفعلة بعد، إلا أن وجودها يشير إلى إمكانية تطويرها لاحقًا لجعل الأجهزة المصابة جزءًا من botnet قد يستخدم في هجمات الحرمان من الخدمة (DDoS) أو سرقة بيانات إضافية.
حملة منفصلة تستهدف AWS SES
بالتوازي، كشفت شركة Wiz عن حملة تصيد كبرى في مايو 2025 اعتمدت على مفاتيح وصول مخترقة لخدمة Amazon Simple Email Service (SES). استغل المهاجمون المفاتيح للتحايل على قيود الخدمة، والتحقق من هويات مرسِل جديدة، وإرسال رسائل بريد تصيد ذات طابع ضريبي إلى ضحايا في عدة قطاعات.
وأكدت AWS أنها تشجع عملاءها دائمًا على اتباع الإرشادات الأمنية لمنع إساءة الاستخدام، مع إمكانية الإبلاغ عن أي أنشطة مشبوهة عبر نموذج مخصص.
