عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة KadNap Malware

KadNap Malware

بواسطة Mezo في البرمجيات الخبيثة
ترجمة الى:

اكتشف باحثو الأمن السيبراني سلالة برمجية خبيثة جديدة تُعرف باسم "كادناب"، تستهدف بشكل أساسي أجهزة توجيه "أسوس" وتُجنّدها في شبكة بوت نت مُصممة لتوجيه حركة مرور الإنترنت الخبيثة. رُصدت هذه البرمجية لأول مرة في أغسطس 2025، وقد أصابت بالفعل أكثر من 14000 جهاز حول العالم. تشير التحليلات إلى أن أكثر من 60% من الأنظمة المُخترقة موجودة في الولايات المتحدة، بينما تم رصد مجموعات أصغر من الإصابات في تايوان وهونغ كونغ وروسيا والمملكة المتحدة وأستراليا والبرازيل وفرنسا وإيطاليا وإسبانيا.

على الرغم من أن أجهزة توجيه Asus تبدو الهدف الرئيسي، إلا أن التحقيقات تُظهر أن القائمين على شبكة KadNap قد وسّعوا نطاق جهودهم لتشمل مجموعة أوسع من أجهزة الشبكات الطرفية. ويشير هذا التوسع إلى محاولة مُتعمّدة لزيادة حجم بنية شبكة الروبوتات وتعزيز مرونتها.

إخفاء الهوية من نظير إلى نظير باستخدام تقنية كاديميليا

من السمات المميزة لعملية كادناب اعتمادها على تطبيق مُعدَّل لبروتوكول جدول التجزئة الموزع (DHT) الخاص بكادمليا. يُدمج هذا البروتوكول في بنية نظير إلى نظير تُخفي موقع البنية التحتية لشبكة الروبوتات عن طريق إخفاء أنظمة التحكم داخل عُقد موزعة.

تتواصل الأجهزة المخترقة عبر شبكة DHT لاكتشاف خوادم القيادة والتحكم (C2) والاتصال بها. ومن خلال توزيع الاتصالات عبر بيئة لا مركزية، يتجنب البرنامج الخبيث الاعتماد على نقطة بنية تحتية مركزية، مما يعقد بشكل كبير جهود الكشف والإزالة التقليدية. يدمج هذا النهج بفعالية حركة المرور الخبيثة في نشاط شبكة الند للند المشروع، مما يجعل المراقبة والتعطيل أكثر صعوبة بالنسبة للمدافعين.

آلية العدوى واستراتيجية الاستمرار

تبدأ سلسلة العدوى ببرنامج نصي يسمى aic.sh، والذي يتم تنزيله من خادم أوامر مستضاف على عنوان IP 212.104.141.140. يبدأ هذا البرنامج النصي عملية دمج الجهاز المخترق في النظام البيئي لشبكة الروبوتات من نظير إلى نظير.

يُنشئ البرنامج النصي آلية استمرارية عمله من خلال إنشاء مهمة مجدولة (cron job) تسترجع نفس البرنامج النصي عند الدقيقة 55 من كل ساعة. في كل مرة يتم تنزيله، يُعاد تسمية البرنامج النصي إلى '.asusrouter' ويتم تنفيذه. بمجرد تأمين استمرارية عمله، يقوم البرنامج النصي بتنزيل ملف ELF ثنائي خبيث، ويعيد تسميته إلى kad، ثم يُشغّله، مما يؤدي فعليًا إلى نشر حمولة برمجية KadNap الخبيثة. صُممت هذه البرمجية الخبيثة للعمل على الأجهزة التي تستخدم معالجات ARM وMIPS، مما يُمكّنها من اختراق مجموعة واسعة من بنى أجهزة التوجيه.

اكتشاف الأقران وتنسيق الشبكة وفقًا للوقت

يشتمل برنامج KadNap الخبيث على آلية لمزامنة النشاط عبر شبكته اللامركزية. يتصل البرنامج بخادم بروتوكول وقت الشبكة (NTP) لاسترداد وقت النظام الحالي، ثم يدمجه مع معلومات وقت تشغيل الجهاز المصاب. تُستخدم هذه القيم لإنشاء رمز تجزئة يساعد الجهاز المصاب في تحديد مواقع الأجهزة الأخرى داخل الشبكة الموزعة.

تُمكّن هذه العملية الأنظمة المخترقة من اكتشاف عُقد أخرى، والحصول على التعليمات، وتنزيل ملفات خبيثة إضافية دون الاعتماد على بنية أوامر مركزية. كما تُنفّذ البرامج النصية الداعمة، مثل fwr.sh و /tmp/.sose، مهامًا إضافية، بما في ذلك تعطيل المنفذ 22، وهو منفذ TCP القياسي الذي يستخدمه بروتوكول Secure Shell (SSH)، واستخراج قوائم عناوين خوادم التحكم والسيطرة ومنافذها المستخدمة في مزيد من الاتصالات.

تسويق شبكة الروبوتات من خلال خدمات البروكسي

بمجرد اختراق أجهزة التوجيه، يتم دمجها في شبكة بروكسي تجارية تُسوّق تحت اسم Doppelgänger عبر الموقع الإلكتروني doppelganger.shop. ويُرجّح باحثو الأمن أن هذه الخدمة هي نسخة مُعاد تسميتها من Faceless، وهي منصة بروكسي كانت مرتبطة سابقًا ببرمجية TheMoon الخبيثة.

بحسب المواد الترويجية التي نشرتها الخدمة، توفر الشبكة وصولاً إلى الخوادم الوكيلة المنزلية في أكثر من 50 دولة، وتعلن عن "إخفاء هوية بنسبة 100%" للمستخدمين. تشير الأدلة إلى أن المنصة أُطلقت في مايو أو يونيو 2025 تقريبًا. تُصنّف البنية التحتية الأجهزة المصابة حسب النوع والطراز، إذ لا يتواصل كل جهاز مخترق مع كل خادم تحكم. يدل هذا التصنيف على استراتيجية إدارة منظمة وقابلة للتوسع لشبكات الروبوتات.

لوحظ بالفعل استغلال شبكة البروكسي من قبل جهات تهديد متعددة. ومع ذلك، يبقى تحديد الجهة المسؤولة أمراً صعباً لأن أجهزة التوجيه المتصلة بالشبكة قد تُصاب أحياناً في الوقت نفسه ببرامج خبيثة إضافية، مما يحجب تحديد الجهة المسؤولة عن أنشطة خبيثة محددة.

تدابير وقائية لأصحاب أجهزة التوجيه

يُبرز انتشار تقنية KadNap المخاطر المتزايدة التي تُشكلها الأجهزة الطرفية غير الآمنة في المنازل والمكاتب الصغيرة على حدٍ سواء. ويمكن لمسؤولي حماية الشبكات والمستخدمين الأفراد تقليل هذه المخاطر بشكل كبير من خلال تبني العديد من الممارسات الأمنية.

  • قم بتحديث أجهزة التوجيه وأجهزة الشبكات بأحدث البرامج الثابتة والتحديثات الأمنية.
  • أعد تشغيل الأجهزة بشكل دوري لمسح العمليات الضارة المؤقتة عند الاقتضاء.
  • استبدل بيانات الاعتماد الافتراضية بكلمات مرور قوية وفريدة.
  • تقييد وتأمين واجهات الإدارة الإدارية.
  • قم بإيقاف تشغيل أجهزة التوجيه التي وصلت إلى نهاية عمرها الافتراضي ولم تعد تتلقى تحديثات أمنية من الشركة المصنعة واستبدلها بأجهزة أخرى.

شبكة بوتات لامركزية مصممة للتخفي

يتميز برنامج KadNap عن العديد من شبكات الروبوتات التقليدية التي تدعم خدمات البروكسي المجهولة باستخدامه بنية لامركزية من نظير إلى نظير. فمن خلال الاستفادة من بروتوكول Kademlia DHT، يوزع برنامج الروبوتات التحكم عبر الأجهزة المصابة بدلاً من الاعتماد على خوادم مركزية يسهل تحديدها.

توفر هذه البنية للمشغلين قنوات اتصال مرنة يصعب اكتشافها أو حجبها أو تعطيلها بشكل كبير. والهدف الاستراتيجي واضح: الحفاظ على استمرارية العمليات، وتجنب المراقبة الأمنية، وتعقيد جهود الاستجابة الدفاعية لفرق الأمن السيبراني.

الشائع

الأكثر مشاهدة

جار التحميل...