كشف باحثون في الأمن السيبراني عن حملة هجومية تستهدف إعدادات Docker الخاطئة، حيث يعمد المهاجمون إلى استغلال واجهات برمجة التطبيقات (APIs) المفتوحة من أجل الوصول إلى البيئات المحوسبة وتشغيل برامج لتعدين العملات الرقمية، مع إخفاء أنشطتهم عبر شبكة Tor المجهولة.
وقالت شركة Trend Micro في تحليل حديث أعده الباحثان سونيل بهارتي وشوبهاهم سينغ:
“يستغلّ المهاجمون واجهات Docker غير المُؤمَّنة للوصول إلى بيئات الحاويات، ثم يستخدمون شبكة Tor لإخفاء أنشطتهم أثناء نشر أدوات التعدين.”
كيف تبدأ الهجمة؟
تبدأ الهجمة بطلب صادر من عنوان IP: 198.199.72[.]27 للحصول على قائمة بجميع الحاويات (Containers) على الجهاز المستهدف.
وإذا لم تُكتشف أي حاويات، يقوم المهاجم بإنشاء واحدة جديدة مبنية على صورة “alpine” من Docker، مع ربط مجلد /hostroot (جذر النظام) كجزء من الحاوية.
هذه الخطوة تُعتبر خطيرة أمنيًا، لأنها تمنح الحاوية صلاحية الوصول إلى نظام التشغيل الأساسي، ما يُتيح إمكانية الهروب من الحاوية (Container Escape) وتنفيذ أوامر على النظام المضيف.
إخفاء البصمة الرقمية
ينفّذ المهاجم سلسلة من الأوامر تشمل:
-
تشغيل سكربت شل مشفّر بصيغة Base64 لإعداد شبكة Tor داخل الحاوية.
-
تحميل وتنفيذ سكربت بعيد من نطاق .onion:
wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion
وقالت الشركة:
“هذا الأسلوب يُعدّ من التكتيكات الشائعة لإخفاء بنية القيادة والسيطرة (C2)، وتفادي الكشف، وتسهيل تسليم البرمجيات الخبيثة أو أدوات التعدين.”
ويستخدم المهاجم بروتوكول socks5hلتوجيه كل حركة البيانات وطلبات الـ DNS عبر شبكة Tor، ما يُضيف طبقة إضافية من التخفي.
السيطرة على النظام وتثبيت أدوات التعدين
بمجرد إنشاء الحاوية، يُطلق سكربت docker-init.sh الذي:
-
يتحقق من وجود مجلد /hostroot.
-
يُعدّل إعدادات SSH للسماح بالوصول البعيد كـ “روت”.
-
يضيف مفتاح SSH خاص بالمهاجم إلى ملف ~/.ssh/authorized_keys.
كما يقوم المهاجم بتثبيت أدوات مختلفة مثل:
-
masscan لفحص الشبكات
-
libpcap لالتقاط الحزم
-
zstd لضغط البيانات
-
torsocks لتوجيه البيانات عبر Tor
بعدها، يتم تنزيل ملف تنفيذي خبيث يعمل كـ “Dropper” يقوم بتثبيت أداة XMRig الخاصة بتعدين عملة Monero الرقمية، إلى جانب ملفات التكوين، عناوين المحافظ، وروابط التجمعات (Mining Pools).
الجهات المستهدفة ونطاق الهجمات
لاحظت Trend Micro أن هذه الأنشطة استهدفت مؤسسات في قطاعات متعددة، منها:
-
شركات التكنولوجيا
-
الخدمات المالية
-
المؤسسات الصحية
وأضافت الشركة:
“هذا النهج يساعد المهاجمين في تفادي الكشف ويبسّط عملية النشر داخل البيئات المصابة.”
ثغرات السحابة: مشكلة تتوسع
يأتي هذا الاكتشاف في وقت كشفت فيه شركة Wiz أن فحصًا لمستودعات الكود البرمجية العامة كشف عن مئات الأسرار (Secrets) المكشوفة في ملفات مثل mcp.json، .env، وملفات Python التفاعلية .ipynb.
وأشارت Wiz إلى أنها وجدت معلومات حساسة تعود لأكثر من 30 شركة، بينها شركات مدرجة ضمن قائمة Fortune 100.
“ينبغي التعامل مع نتائج تنفيذ الأكواد في دفاتر Python التفاعلية على أنها بيانات حساسة”، قال الباحثان شاي بيركوفيتش ورامي مكارثي، مضيفَين أن “ربط محتوى هذه الملفات مع هوية المؤسسة قد يوفر معلومات استخباراتية قيمة للمهاجمين.”
