Nexcorium Botnet

تكشف تحقيقات الأمن السيبراني أن جهات التهديد تستغل بنشاط نقاط الضعف الأمنية في أنظمة تسجيل الفيديو الرقمي من TBK وأجهزة توجيه الواي فاي من TP-Link التي انتهى عمرها الافتراضي، لنشر نسخ معدلة من شبكة Mirai الخبيثة. وتُعدّ هذه الأجهزة، التي غالبًا ما يتم تجاهلها في استراتيجيات الأمن، نقاط دخول جذابة نظرًا لبرامجها الثابتة القديمة، وضعف إعداداتها، وقلة تحديثاتها. كما أن انتشارها الواسع يزيد من قيمتها كأهداف في الهجمات السيبرانية واسعة النطاق.

استغلال الثغرات الأمنية المعروفة للوصول الأولي

تستغل الحملة التي تستهدف أجهزة تسجيل الفيديو الرقمية من نوع TBK ثغرة CVE-2024-3721، وهي ثغرة أمنية متوسطة الخطورة تسمح بحقن الأوامر (درجة خطورة CVSS: 6.3)، وتؤثر على طرازي DVR-4104 وDVR-4216. وباستغلال هذه الثغرة، يقوم المهاجمون ببث حمولة خبيثة تعتمد على برمجية Mirai الخبيثة تُعرف باسم Nexcorium. لم تمر هذه الثغرة مرور الكرام في حملات سابقة؛ فقد استُخدمت سابقًا لنشر كلٍ من متغيرات Mirai وشبكة RondoDox الخبيثة الناشئة.

بالإضافة إلى ذلك، سلطت الأبحاث السابقة الضوء على نظام بيئي لبرامج التحميل كخدمة مسؤول عن توزيع العديد من عائلات البرامج الضارة، بما في ذلك RondoDox و Mirai و Morte، من خلال استغلال بيانات الاعتماد الضعيفة والثغرات الأمنية القديمة عبر أجهزة التوجيه وأجهزة إنترنت الأشياء وتطبيقات المؤسسات.

سلسلة العدوى ونشر الحمولة

تبدأ سلسلة الهجوم باستغلال ثغرة أمنية في جهاز التسجيل الرقمي (DVR) لنشر برنامج تنزيل. يحدد هذا البرنامج بنية نظام لينكس الخاص بالنظام المستهدف، ثم يُنفذ حمولة شبكة الروبوتات المناسبة. بمجرد تفعيله، يُشير البرنامج الخبيث إلى الاختراق من خلال عرض رسالة تُفيد بالسيطرة على النظام.

يعكس برنامج Nexcorium التصميم الهيكلي لمتغيرات Mirai التقليدية، حيث يتضمن بيانات تكوين مشفرة، وآليات مراقبة النظام، ووحدات مخصصة لشن هجمات الحرمان من الخدمة الموزعة.

تقنيات الحركة الجانبية والمثابرة

يُوسّع هذا البرنامج الخبيث نطاق انتشاره داخل الشبكات باستغلال ثغرات أمنية إضافية، بما في ذلك الثغرة CVE-2017-17215، التي تستهدف أجهزة هواوي HG532. كما يستخدم أساليب التخمين العشوائي باستخدام قوائم بيانات اعتماد مضمنة لاختراق أنظمة أخرى عبر الوصول إلى Telnet.

بمجرد تحقيق الوصول، يقوم البرنامج الخبيث بتنفيذ عدة إجراءات:

• يقوم بإنشاء جلسة طرفية على المضيف المخترق
• يقوم بتهيئة استمرارية البيانات باستخدام خدمات crontab و systemd
• يتصل بخادم تحكم وقيادة عن بُعد للحصول على التعليمات
• يحذف الملف الثنائي الأصلي لتقليل إمكانية رصده في التحليل الجنائي الرقمي

تضمن هذه الخطوات استمرار السيطرة مع تقليل فرص الكشف والتحليل.

قدرات شبكات الروبوتات وتأثيرها التشغيلي

بعد تأمين استمرارية الوصول، يُمكّن برنامج Nexcorium المهاجمين من تنفيذ مجموعة من هجمات DDoS باستخدام بروتوكولات متعددة، بما في ذلك:

بروتوكول UDP
بروتوكول التحكم بالنقل (TCP)
SMTP

تتيح هذه القدرة متعددة المتجهات سيناريوهات هجوم مرنة وعالية التأثير، مما يجعل شبكة الروبوتات تهديدًا كبيرًا للبنية التحتية المستهدفة.

المشهد الحالي للتهديدات والمخاطر المستقبلية

يُجسّد برنامج Nexcorium تطور شبكات الروبوتات التي تركز على إنترنت الأشياء، إذ يجمع بين إعادة استخدام الثغرات الأمنية، والتوافق بين مختلف البنى، وآليات استمرارية قوية. ويُظهر دمجه للثغرات الأمنية المعروفة إلى جانب أساليب الهجوم العنيفة قدرة عالية على التكيف.

إن استمرار الاعتماد على بيانات الاعتماد الافتراضية والأجهزة غير المُحدَّثة يضمن بقاء أنظمة إنترنت الأشياء نقطة ضعف حرجة. فبدون تحسينات جوهرية في ممارسات أمن الأجهزة، ستستمر هذه الأنظمة في تغذية عمليات شبكات الروبوتات واسعة النطاق وتعطيل استقرار الشبكات العالمية.