كشف باحثون في الأمن السيبراني عن حملة إلكترونية جديدة تستغل ثغرة أمنية معروفة في خادم Apache HTTP لنشر برنامج تعدين للعملات المشفرة يُعرف باسم Linuxsys.
وتتمثل الثغرة المستغلة في CVE-2021-41773، والتي تحمل تقييم خطورة يبلغ 7.5 وفق معيار CVSS، وهي ثغرة من نوع “اجتياز المسارات” تؤثر على الإصدار 2.4.49 من الخادم وقد تؤدي إلى تنفيذ أوامر عن بُعد.
آلية الاختراق ونشر البرمجية الضارة
أوضح الباحث جاكوب باينز من شركة VulnCheck أن المهاجمين يستخدمون مواقع إلكترونية شرعية تم اختراقها مسبقًا لتوزيع البرمجيات الضارة، ما يمنحهم ميزة التخفي وصعوبة الاكتشاف.
وقد رُصدت سلسلة العدوى في وقت سابق من يوليو الحالي، وكانت بدايتها من عنوان IP إندونيسي. تعتمد السلسلة على تحميل حمولة ضارة من موقع “repositorylinux.org” باستخدام أدوات مثل curl أو wget.
تتضمن الحمولة سكربت شل يقوم بتحميل برنامج التعدين من خمسة مواقع إلكترونية شرعية تم اختراقها، ما يشير إلى أن الجهة المهاجمة تمكنت من السيطرة على بنية تحتية تابعة لأطراف ثالثة. وتُستخدم هذه المواقع أيضًا لاستضافة سكربت إضافي يُدعى “cron.sh”، يضمن تشغيل برنامج التعدين تلقائيًا عند إعادة تشغيل النظام.
ذكر الباحثون أن بعض المواقع المستغلة تحتوي أيضًا على ملفات تنفيذية لنظام ويندوز، ما يفتح الاحتمال بأن الهجمات لا تقتصر على أنظمة لينوكس فحسب، بل تستهدف أيضًا أنظمة مايكروسوفت المكتبية.
سبق للهجمات التي تنشر برنامج Linuxsys أن استغلت ثغرة أمنية حرجة في نظام OSGeo GeoServer GeoTools (CVE-2024-36401) حسب تقرير صادر عن Fortinet في سبتمبر 2024. وكانت الحمولة في هذا السياق تُحمّل من نطاق “repositorylinux.com”، واحتوت على تعليقات مكتوبة بلغة السوندانية، وهي إحدى لغات إندونيسيا. ويُعتقد أن هذا السكربت استُخدم منذ ديسمبر 2021 على الأقل.
ثغرات إضافية استُخدمت في حملات سابقة
تشمل الثغرات الأخرى التي استُغلت لتوزيع برنامج التعدين في السنوات الماضية:
-
CVE-2023-22527: ثغرة حقن قوالب في Atlassian Confluence
-
CVE-2023-34960: ثغرة تنفيذ أوامر في نظام إدارة التعليم Chamilo
-
CVE-2023-38646: ثغرة تنفيذ أوامر في Metabase
-
CVE-2024-0012 وCVE-2024-9474: ثغرتا تجاوز مصادقة وتصعيد صلاحيات في جدران حماية Palo Alto Networks
وأشارت شركة VulnCheck إلى أن هذه المعطيات تدل على أن المهاجمين يديرون حملة طويلة الأمد، تعتمد على استغلال ثغرات n-day، واستخدام البنية التحتية المخترقة لتخزين المحتوى، وتعدين العملات على الأجهزة المصابة.
تفادي الاكتشاف والتكتيكات المتقدمة
يبدو أن المهاجمين يتجنبون أنظمة المراقبة ذات التفاعل المنخفض (low interaction honeypots)، ولا يظهر نشاطهم إلا عند توفر بيئة تفاعل مرتفع. كما أن اعتمادهم على استضافة البرمجيات الخبيثة في مواقع موثوقة يساعدهم على التهرب من الاكتشاف.
تزامن الكشف عن هجمات Linuxsys مع حملة جديدة مرتبطة ببوت نت التعدين H2Miner، والتي تُستخدم لنشر حصان طروادة يُدعى Kinsing، يُعرف باستهداف بنية لينوكس التحتية لنشر برمجيات التعدين.
وتتميز سلسلة الهجمات هذه بوجود تداخل عملياتي مع سلالة جديدة من برمجيات الفدية تُعرف باسم Lcrypt0rx، وهي نسخة مبنية على VBScript من الفدية Lcryx، ما يجعلها أول حالة موثقة لتقاطع في العمليات بين عائلتين من البرمجيات الخبيثة.
برمجية فدية Lcrypt0rx: خصائص غير اعتيادية وسلوك تدميري
رُصدت برمجية Lcrypt0rx لأول مرة في نوفمبر 2024، وتتميز بخصائص غير معتادة تُشير إلى أنها قد تكون ناتجة عن توليد باستخدام الذكاء الاصطناعي.
تتضمن الحملة سكربتًا يُنهي عمليات متعلقة بأدوات الحماية وقواعد البيانات وتطبيقات المستخدم، قبل نشر Kinsing الذي بدوره يُطلق برنامج تعدين XMRig. كما تقوم البرمجية بإنهاء عمليات لبرامج تعدين أخرى قد تكون نشطة على النظام.
أما Lcrypt0rx فتُجري تعديلات على سجل نظام ويندوز لتعطيل أدوات مهمة مثل System Configuration Utility وGroup Policy Editor، إضافة إلى محاولة تعطيل برامج الحماية من Microsoft وBitdefender وKaspersky، وتعمل على تدمير سجل الإقلاع الرئيسي (MBR) لإيقاف تشغيل الجهاز نهائيًا.
وتقوم الفدية بتحميل برمجيات إضافية قبل عملية التشفير، منها نسخة XMRig التي يستخدمها H2Miner، وأدوات مثل Cobalt Strike، وConnectWise ScreenConnect، وسارق البيانات Lumma وRustyStealer، إضافة إلى أداة حقن DCRat.
وبعد التشفير، تترك البرمجية رسالة فدية في عدة مواقع تطلب من الضحية دفع 1000 دولار بالعملات المشفرة خلال ثلاثة أيام لتجنب تسريب بياناته.
لاحظ الباحثون أن البرمجية لا تقوم بحفظ مفاتيح التشفير لا محليًا ولا عن بُعد، وتستخدم خوارزمية XOR بسيطة يمكن فك تشفيرها بسهولة. مما يشير إلى أن الهدف من الفدية هو إثارة الذعر أكثر من كونه هجومًا حقيقيًا لابتزاز الأموال.
جرائم إلكترونية تجارية وتكلفة مرتفعة على المؤسسات
تشير هذه الهجمات إلى التوسع المستمر في “تسليع” الجريمة الإلكترونية، حيث أصبحت أدوات الهجوم جاهزة ومُولدة بواسطة الذكاء الاصطناعي، ما يُمكّن حتى المهاجمين قليلي الخبرة من شن هجمات مؤثرة على نطاق واسع.
وأكدت Fortinet أن حملات H2Miner وLcrypt0rx تنتهي جميعها بنشر برمجيات تعدين عملة مونيرو (Monero)، وهي سمة بارزة في حملات اختراق الموارد. وفي بيئات الحوسبة السحابية، يؤدي هذا إلى زيادة في التكاليف التشغيلية، وضعف في الأداء، ومخاطر أمنية عالية.
برمجية GhostContainer تستهدف خوادم Exchange
في سياق متصل، كشفت شركة Kaspersky عن حملة تستهدف جهات حكومية في آسيا عبر ثغرة قديمة في Microsoft Exchange Server، لنشر باب خلفي مخصص أطلق عليه اسم GhostContainer.
ويُعتقد أن الهجوم استغل ثغرة CVE-2020-0688 ذات تقييم خطورة 8.8.
تتميز البرمجية بقدرتها على التوسع ديناميكيًا عبر تحميل وحدات إضافية، وتُتيح للمهاجم السيطرة الكاملة على خادم Exchange. كما يمكنها تنفيذ shellcode، وتحميل أو حذف ملفات، وتنفيذ أوامر، وتضم وحدة وكيل ويب ونظام أنفاق.
وترجّح التحليلات أن الحملة جزء من نشاط تجسسي متقدم يستهدف مؤسسات تقنية مرموقة في آسيا، ويُعتقد أن منفذيها يتمتعون بخبرة عالية في خوادم مايكروسوفت وإعادة استخدام الشيفرات المتاحة علنًا بطرق متطورة.
قالت Kaspersky إن البرمجية لا تتصل بخوادم خارجية للتحكم، بل يتصل المهاجم مباشرة بالخادم المخترق، وتُدمج أوامر التحكم في طلبات الويب الخاصة بـ Exchange، ما يُصعّب اكتشافها.
