كشف باحثون في مجال التهديدات السيبرانية عن حملتين خبيثتين استهدفتا الثغرات وسوء الإعداد في بيئات الحوسبة السحابية لنشر برمجيات تعدين للعملات المشفرة. وقد أُطلقت على هاتين الحملتين اسما Soco404 وKoske من قبل شركتي الأمن السحابي Wiz وAqua على التوالي.
Soco404: استهداف متعدد المنصات وإخفاء عبر صفحات مزيفة
بحسب باحثي Wiz، تستهدف حملة Soco404 أنظمة لينكس وويندوز مع نشر برمجيات خبيثة مخصصة لكل نظام، حيث تعتمد على تقنية إخفاء العمليات لتبدو وكأنها عمليات نظام شرعية.
وتعتمد الحملة على تحميل البرمجيات عبر صفحات HTML مزيفة تحتوي على رسالة 404، والمستضافة على مواقع تم إنشاؤها باستخدام Google Sites، والتي أزيلت لاحقًا بواسطة شركة غوغل.
تشير Wiz إلى أن هذه الحملة تأتي في سياق بنية تحتية أوسع للاحتيال بالعملات الرقمية، تشمل منصات تداول وهمية. وقد استهدفت سابقًا خوادم Apache Tomcat ذات بيانات اعتماد ضعيفة، بالإضافة إلى خوادم Apache Struts وAtlassian Confluence عبر شبكة البوتات Sysrv.
كما اكتشفت الحملة استهدافًا لقواعد بيانات PostgreSQL المعروضة علنًا، إلى جانب استغلال خوادم Tomcat المخترقة لاستضافة حمولة مخصصة لكل من أنظمة لينكس وويندوز. كما لجأ المهاجمون إلى اختراق موقع إلكتروني حقيقي تابع لشركة نقل كورية لاستخدامه في توزيع البرمجيات الخبيثة.
بعد الحصول على الوصول الأولي، يستخدم المهاجمون أمر SQL COPY … FROM PROGRAM من PostgreSQL لتشغيل أوامر شل عشوائية وتحقيق تنفيذ عن بعد للأوامر.
ويقول الباحثون إن الحملة تعتمد على فحص آلي للخدمات المكشوفة، مع استخدام أدوات متعددة للدخول مثل wget وcurl في لينكس، وcertutil وPowerShell في ويندوز.
في أنظمة لينكس، تُنفذ حمولة مبدئية (Shell Script) مباشرة في الذاكرة لتنزيل الحمولة التالية وتشغيلها، مع تعطيل برمجيات تعدين منافسة ومحو السجلات المرتبطة بـ cron وwtmp لإخفاء الآثار.
أما في أنظمة ويندوز، فيُستخدم أمر بعد الاستغلال لتنزيل وتشغيل ملف تنفيذي يتضمن البرمجية المعدّنة وسائق النظام WinRing0.sys للحصول على امتيازات NT\SYSTEM. كما تعمل البرمجية على تعطيل خدمة سجل الأحداث وتنفيذ أمر حذف ذاتي لتجنب الكشف.
تؤكد Wiz أن هذه الحملة تتبع نهجًا مرنًا لا يعتمد على نظام أو وسيلة واحدة، بل تسعى إلى نشر الحمولة بأي طريقة متاحة، ما يعكس طابع الحملات الآلية الواسعة النطاق التي تهدف إلى تحقيق الاستمرارية وزيادة العائدات.
Koske: تهديد لينكس متطور يعتمد على صور الباندا كناقل خبيث
بالتزامن مع حملة Soco404، ظهر تهديد جديد يُعرف باسم Koske، يُعتقد أنه طُوِّر بمساعدة نموذج لغوي كبير (LLM)، ويعتمد على صور باندا تبدو بريئة لنشر البرمجيات الخبيثة.
تبدأ الهجمة من خلال استغلال خادم ضعيف الإعداد — مثل JupyterLab — لتثبيت عدة سكربتات خبيثة مستخرجة من ملفي صور JPEG، أحدهما يتضمن Rootkit بلغة C يخفي الملفات الضارة ، والآخر سكربت لتنزيل برمجيات تعدين العملات.
يُنفذ كلا الحمولة مباشرة في الذاكرة دون ترك أثر على القرص، ما يزيد من قدرة الهجوم على التملص من أدوات الكشف.
الهدف النهائي لـ Koske هو تثبيت برمجيات تعدين تستغل موارد وحدة المعالجة المركزية (CPU) ووحدة معالجة الرسومات (GPU) في النظام المصاب لتعدين 18 عملة مشفرة مختلفة، مثل Monero وRavencoin وZano وNexa وTari.
بحسب باحث Aqua أساف موراغ، فإن هذه الصور عبارة عن ملفات Polyglot تضم حمولة خبيثة مضافة إلى نهايتها. وعند تنزيلها، تُستخرج الأجزاء الضارة وتُنفذ في الذاكرة، ما يتجاوز برامج مكافحة الفيروسات.
ويضيف: “هذه التقنية لا تُعد إخفاءً داخل الصور (Steganography)، بل هي إساءة استخدام لملفات متعددة التنسيقات (Polyglot)، حيث يُستخدم ملف JPG صالح يحتوي على Shellcode خبيث مخفي في نهايته. يتم تنزيل البايتات الأخيرة فقط وتنفيذها، ما يجعلها وسيلة خبيثة وذكية للإخفاء”.
