عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد شبكات الروبوتات شبكة بوتات SSHStalker

شبكة بوتات SSHStalker

بواسطة Mezo في شبكات الروبوتات, التهديد المستمر المتقدم (APT)
ترجمة الى:

كشف محللو الأمن السيبراني عن عملية شبكة بوتات تُعرف باسم SSHStalker، تستغل بروتوكول دردشة الإنترنت (IRC) للاتصالات والتحكم. ومن خلال الجمع بين آليات شبكات بوتات IRC التقليدية وتقنيات الاختراق الجماعي الآلية، تعكس هذه الحملة نهجًا مدروسًا ومنهجيًا لاختراق البنية التحتية.

بخلاف شبكات الروبوتات الحديثة التي تعطي الأولوية لتحقيق الربح السريع، فإن SSHStalker تؤكد على المثابرة والتوسع المتحكم فيه، مما يشير إلى هدف استراتيجي محتمل بدلاً من المكاسب المالية الفورية.

استراتيجية الاستغلال: استهداف المنسيين وغير المُعالجين

يرتكز برنامج SSHStalker بشكل أساسي على التركيز المتعمد على أنظمة لينكس القديمة. تتضمن مجموعة الأدوات 16 ثغرة أمنية في نواة لينكس، يعود تاريخ العديد منها إلى عامي 2009 و2010. ورغم أنها غير فعالة إلى حد كبير ضد الأنظمة الحديثة المحدثة بالكامل، إلا أن هذه الثغرات لا تزال قابلة للاستغلال ضد البنية التحتية القديمة أو المهملة.

تشمل الثغرات الأمنية البارزة التي استُغلت في الحملة CVE-2009-2692، وCVE-2009-2698، وCVE-2010-3849، وCVE-2010-1173، وCVE-2009-2267، وCVE-2009-2908، وCVE-2009-3547، وCVE-2010-2959، وCVE-2010-3437. ويُظهر هذا الاعتماد على الثغرات القديمة استراتيجية عملية: استغلال بيئات الأنظمة القديمة التي غالباً ما تفلت من الرقابة الأمنية الحديثة.

التوسع الشبيه بالدودة من خلال أتمتة SSH

يدمج برنامج SSHStalker إمكانيات المسح الآلي لتوسيع نطاق انتشاره. يقوم ماسح ضوئي مبني على لغة Golang بفحص المنفذ 22 بنشاط لتحديد الأنظمة التي تعرض خدمات SSH. بمجرد اكتشافها، يتم اختراق الأجهزة المضيفة المعرضة للخطر وإضافتها إلى قنوات IRC، مما يؤدي فعليًا إلى توسيع شبكة الروبوتات بطريقة تشبه انتشار الديدان.

يتم نشر عدة برامج ضارة أثناء عملية الإصابة، بما في ذلك نسخ مختلفة من روبوت يتم التحكم فيه عبر بروتوكول IRC وروبوت ملفات مبني على لغة Perl. تتصل هذه المكونات بخادم UnrealIRCd، وتنضم إلى قنوات تحكم محددة، وتنتظر التعليمات. تدعم البنية التحتية هجمات مرور منسقة على غرار هجمات الفيضان، بالإضافة إلى إدارة مركزية للروبوتات.

على الرغم من هذه القدرات، تتجنب الحملة بشكل ملحوظ الانخراط في أنشطة تحقيق الربح الشائعة بعد الاختراق، مثل هجمات الحرمان من الخدمة الموزعة، أو اختراق الخوادم الوكيلة، أو تعدين العملات المشفرة. وبدلاً من ذلك، تبقى الأنظمة المخترقة خاملة إلى حد كبير، مما يحافظ على الوصول المستمر. يشير هذا النهج التشغيلي المقيد إلى حالات استخدام محتملة مثل التجهيز، أو الاحتفاظ بالوصول، أو العمليات المنسقة المستقبلية.

التخفي، والمثابرة، ومكافحة الأدلة الجنائية

يُعدّ التخفي التشغيلي سمةً أساسيةً لبرنامج SSHStalker الخبيث. إذ يستخدم هذا البرنامج أدواتٍ لتنظيف السجلات، تتلاعب بسجلات utmp وwtmp وlastlog لإخفاء الوصول غير المصرح به عبر SSH. كما تُنفَّذ برامج C مخصصة لإزالة آثار النشاط الخبيث من سجلات النظام، مما يُقلل من إمكانية رصده من قِبل الأدلة الجنائية الرقمية.

لضمان المرونة، تتضمن مجموعة الأدوات آلية للحفاظ على استمرارية عمل البرنامج الخبيث، مصممة لإعادة تشغيل عملية البرنامج الخبيث الرئيسية في غضون 60 ثانية في حال توقفها. تعزز استراتيجية الاستمرارية هذه من قدرة البرنامج على البقاء في البيئات المخترقة.

البنية التحتية للتجهيزات وترسانة الأدوات الهجومية

كشف تحليل البنية التحتية المرتبطة بالبرنامج عن وجود مستودع واسع من الأدوات الهجومية والبرامج الضارة الموثقة سابقًا. تتضمن مجموعة الأدوات ما يلي:

  • برامج التجسس المصممة لتعزيز التخفي والحفاظ على الاستمرارية
  • عمال تعدين العملات المشفرة
  • برنامج بايثون يقوم بتشغيل ملف تنفيذي باسم "website grabber" لجمع بيانات اعتماد خدمات أمازون السحابية (AWS) المكشوفة من المواقع الإلكترونية المعرضة للاختراق.
  • EnergyMech، وهو روبوت IRC يتيح التحكم عن بعد وتنفيذ الأوامر عن بعد

تُبرز هذه المجموعة إطار عمل تشغيلي مرن قادر على التكيف مع أهداف هجوم متعددة.

دلائل الإسناد والتداخل التشغيلي

تشير المؤشرات الموجودة في قنوات IRC وقوائم كلمات التكوين إلى أصل روماني محتمل، بما في ذلك وجود ألقاب وعبارات عامية رومانية. بالإضافة إلى ذلك، تتشابه الخصائص التشغيلية بشكل كبير مع خصائص مجموعة القرصنة المعروفة باسم Outlaw (المعروفة أيضًا باسم Dota)، مما يشير إلى انتماء محتمل أو أساليب عمل مشتركة.

التنسيق الناضج للاستغلال المبتكر

لا يعتمد برنامج SSHStalker على ثغرات اليوم الصفر أو تطوير برامج التجسس المتطورة. بدلاً من ذلك، تُظهر الحملة تحكمًا تشغيليًا منضبطًا وتنسيقًا فعالًا. كُتبت المكونات الأساسية للبرنامج الخبيث والمكونات منخفضة المستوى بلغة C بشكل رئيسي، مع استخدام نصوص برمجية لإدارة استمرارية البيانات والتشغيل الآلي. يُستخدم Python وPerl بشكل انتقائي لوظائف المساعدة ومهام الدعم ضمن سلسلة العدوى.

تُجسّد هذه الحملة نموذجًا لمنهجية عمل منظمة وقابلة للتوسع في اختراق الأنظمة على نطاق واسع، تُركّز على إعادة تدوير البنية التحتية، والأتمتة، والاستدامة طويلة الأمد عبر بيئات لينكس المتنوعة. وبدلًا من الابتكار، تكمن قوتها في التنفيذ والتنسيق والاستغلال الاستراتيجي للأنظمة التي تم تجاهلها.

الشائع

ممنوع إرسال الرسائل - عملية احتيال عبر البريد...

التصيد الاحتيالي, رسائل إلكترونية مزعجة
يُعدّ توخي الحذر عند ورود رسائل بريد إلكتروني غير متوقعة أمرًا بالغ الأهمية في ظلّ التهديدات الإلكترونية الحالية. إذ ينتحل مجرمو الإنترنت صفة مزوّدي الخدمات بشكل روتيني لاستغلال ثقة المتلقّين وشعورهم بالإلحاح، آملين أن يتصرّفوا دون تفكير. ومن الأمثلة على ذلك عملية الاحتيال عبر البريد الإلكتروني "أنت غير مصرح لك بإرسال رسائل"، وهي حملة خادعة لا تمتّ بصلة إلى أي شركات أو مؤسسات أو جهات شرعية....

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
26,487
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...