استغلال حاويات Docker لاستهداف عقد Teneo Web3 وكسب العملات الرقمية عبر إشارات نبض مزيفة

استغلال حاويات Docker لاستهداف عقد Teneo Web3 وكسب العملات الرقمية عبر إشارات نبض مزيفة
استغلال حاويات Docker لاستهداف عقد Teneo Web3 وكسب العملات الرقمية عبر إشارات نبض مزيفة
شارك هذا الخبر

كشف باحثون في مجال الأمن السيبراني عن حملة برمجيات خبيثة جديدة تستهدف بيئات Docker باستخدام تقنية غير موثقة سابقًا تهدف إلى تعدين العملات الرقمية.

ووفقًا لتحليلات كل من Darktrace وCado Security، تمثل هذه الحملة نقلة نوعية عن حملات التعدين غير المشروعة التقليدية التي تعتمد عادة على أدوات مثل XMRig، إذ تستخدم هذه الحملة نهجًا مختلفًا لتحقيق أرباح من موارد الحوسبة.

ما هي آلية الهجوم؟

تعتمد الحملة على نشر برمجية خبيثة تتصل بخدمة Web3 ناشئة تُدعى Teneo، وهي شبكة بنية تحتية مادية لا مركزية (DePIN) تتيح للمستخدمين تحقيق دخل من بيانات وسائل التواصل الاجتماعي العامة من خلال تشغيل “عقدة مجتمعية” (Community Node) مقابل نقاط Teneo يمكن تحويلها إلى رموز رقمية $TENEO.

تعمل هذه العقدة كمجمع بيانات موزع يقوم بجمع منشورات من منصات مثل Facebook وX (تويتر سابقًا) وReddit وTikTok.

البداية من Docker

تحليل البيانات التي جُمعت من أنظمة الاستدراج (Honeypots) التابعة لـ Darktrace أظهر أن الهجوم يبدأ عبر محاولة لتشغيل صورة حاوية (Container Image) من Docker Hub تحت اسم:

bash

تم رفع هذه الصورة قبل شهرين، وتم تحميلها حتى الآن 325 مرة.

تحتوي الحاوية على سكريبت بايثون مضمن ومموه بشكل كبير، يتطلب 63 دورة لفك تشفيره، ويقوم في النهاية بإنشاء اتصال مع النطاق .

إشارات نبض مزيفة بدلًا من التجميع الحقيقي

بحسب تقرير Darktrace:

“السكريبت الخبيث ببساطة يتصل عبر WebSocket ويرسل إشارات نبض (Keep-alive Pings) مزيفة بهدف جمع المزيد من نقاط Teneo، دون أن يقوم بأي عملية تجميع فعلية للمحتوى.”

وأوضح التقرير أن غالبية المكافآت تعتمد على عدد النبضات المُرسلة، ما يفسر سبب اعتماد المهاجمين على هذه الطريقة.

حملات مماثلة: من 9Hits إلى Proxyjacking

تشبه هذه الحملة هجمات سابقة مثل نشر برنامج 9Hits Viewer داخل مثيلات Docker غير المؤمنة، والذي يُستخدم لتوليد زيارات وهمية لمواقع معينة مقابل رصيد أو نقاط.

كما أنها تذكّر بمخططات مشاركة النطاق الترددي (Proxyjacking)، حيث يقوم المستخدمون بتنزيل برنامج يشارك اتصالهم بالإنترنت مقابل مكافآت مالية.

توجه جديد للهجمات الخفية

قالت Darktrace:

“عادةً ما تعتمد هجمات التعدين التقليدية على XMRig، ولكن نظرًا لسهولة اكتشافه، بدأ المهاجمون بالتحول إلى أساليب بديلة لتوليد العملات الرقمية.”

ورغم أن الربحية الحقيقية لهذه الطريقة لم تُعرف بعد، إلا أنها تمثل أسلوبًا أكثر خداعًا وابتكارًا من التقنيات القديمة.

برمجيات خبيثة أخرى: ظهور RustoBot

في سياق متصل، كشفت مختبرات FortiGuard التابعة لـ Fortinet عن شبكة بوتنت جديدة تُدعى RustoBot، تنتشر من خلال استغلال ثغرات في أجهزة:

  • TOTOLINK (CVE-2022-26210 وCVE-2022-26187)

  • DrayTek (CVE-2024-12987)

وتهدف إلى تنفيذ هجمات حجب الخدمة (DDoS)، مع تركيز خاص على قطاع التكنولوجيا في دول مثل اليابان وتايوان وفيتنام والمكسيك.

صرّح الباحث الأمني فينسنت لي قائلاً:

“تُعد أجهزة إنترنت الأشياء والأجهزة الشبكية نقاط ضعف شائعة، ما يجعلها أهدافًا مغرية للمهاجمين لنشر البرمجيات الخبيثة. تقوية المراقبة والمصادقة على هذه الأجهزة يقلل من خطر الاستغلال بشكل كبير.”

وسوم
محمد وهبى
محمد وهبى
المقالات: 191

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


انتهت فترة التحقق من reCAPTCHA. يُرجى إعادة تحميل الصفحة.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة