حملة خبيثة جديدة تستهدف أنظمة لينكس عبر Oracle WebLogic لاستخراج العملات الرقمية
في مشهد الأمن السيبراني المتسارع، تبرز تهديدات جديدة بشكل مستمر، ما يجعل من الضروري أن نكون يقظين ومتابعين لأحدث التطورات. مؤخراً، برزت حملة خبيثة تستهدف أنظمة تشغيل لينكس، مُصممة خصيصاً لاستخراج العملات الرقمية بطريقة غير قانونية. في هذا المقال، سنكشف الستار عن تفاصيل هذه الحملة، أدواتها، وكيفية تأثيرها على الأنظمة المستهدفة.
ما هي الحملة؟
الحملة الحالية تُعد من أخطر الهجمات الإلكترونية التي تستهدف أنظمة لينكس، خاصة خوادم Oracle WebLogic. فما هي دوافع هذه الهجمة؟ ببساطة، الهدف الرئيسي هو استغلال الثغرات الأمنية في النظام لتعدين العملات الرقمية بشكل غير قانوني. كيف يتم ذلك؟ عبر استخدام أدوات خبيثة تُخترق النظام من خلال نقاط الضعف الأمنية وتقوم بتنفيذ عمليات تعدين غير مصرح بها.
البرمجية الخبيثة: Hadooken
البرمجية الخبيثة الرئيسية في هذه الحملة تُعرف باسم Hadooken. ولكن ما الذي يميز Hadooken عن غيرها من البرمجيات الخبيثة؟ عند تفعيل Hadooken، تقوم هذه البرمجية بتحميل برنامج خبيث آخر يُدعى Tsunami، بجانب برنامج خاص بتعدين العملات الرقمية. بهذا التكوين، تُصبح عملية التعدين غير القانونية أكثر فعالية وتخفى عن الأنظار.
كيف تعمل الحملة؟
تستغل هذه الحملة ثغرات أمنية، مثل كلمات السر الضعيفة، لتتمكن من الوصول غير المصرح به إلى الأنظمة المستهدفة. ولكن، كيف يتم تنفيذ الهجوم؟ الحملة تستخدم نوعين من البرمجيات الرئيسية:
- برمجية بلغة Python: تُسهم في تشغيل العمليات الخبيثة بشكل مباشر.
- سكربت شيل: يعمل كأداة لتنفيذ الأوامر على النظام المستهدف، مما يعزز فعالية الهجوم.
بعد نجاح Hadooken في التسلل إلى النظام، تبدأ البرمجية في تحميل الأدوات الخبيثة الأخرى، وتبحث عن بيانات تسجيل الدخول عبر SSH. هذه البيانات تُستخدم للهجوم على خوادم أخرى، مما يوسع نطاق الهجوم ويعزز تأثيره على الشبكة بأكملها.
مكونات Hadooken
تتمثل Hadooken في مكونين رئيسيين، لكل منهما دور حاسم في الهجوم:
- برنامج لتعدين العملات الرقمية: يُشغل عملية التعدين بشكل غير قانوني، محققاً أهداف المهاجمين المالية.
- شبكة بوتنت لتوزيع الهجمات (DDoS) تُعرف باسم Tsunami: تستهدف خدمات مثل Jenkins وWebLogic، مما يسبب انقطاع الخدمات وتعطيل الأنظمة المستهدفة.
كيف تضمن البرمجية بقاءها؟
تحافظ Hadooken على استمراريتها من خلال إنشاء مهام دورية تُعرف بـ cron jobs على الجهاز المضيف. هذه المهام تعمل بشكل منتظم لتشغيل برنامج تعدين العملات الرقمية، مما يضمن استمرار النشاط الخبيث دون الحاجة لتدخل يدوي مستمر.
تفاصيل العناوين IP المرتبطة
تستخدم الحملة عنوانين IP رئيسيين:
- 89.185.85[.]102: هذا العنوان مسجل في ألمانيا تحت شركة الاستضافة Aeza International LTD.
- 185.174.136 [.]204: يرتبط أيضاً بشركة Aeza Group Ltd، وهي شركة توفر استضافة محصنة ولها وجود في موسكو وفرانكفورت.
ملاحظات إضافية
تُظهر الدراسات أن شركة Aeza تقدم ملاذاً للجريمة الإلكترونية، مما يفسر استخدام القراصنة لها كقاعدة لعملياتهم الخبيثة. هذا النمو السريع في عمليات الجريمة الإلكترونية تحت حماية شركات الاستضافة المحصنة يعكس مدى تعقيد التهديدات السيبرانية اليوم.
خلاصة
تُمثل الحملة الجديدة التي تستهدف أنظمة لينكس باستخدام البرمجية الخبيثة Hadooken تهديداً حقيقياً لأمن الشبكات. من خلال استغلال الثغرات الأمنية واستخدام أدوات خبيثة مثل Tsunami، تسعى هذه الحملة إلى تعدين العملات الرقمية ونشر البرمجيات الخبيثة بطرق غير قانونية. لذا، من الضروري أن تبقى الأنظمة مُحكمة الحماية وأن يتم تحديثها بشكل دوري لمواجهة هذه التهديدات المتزايدة.
ابقَ على اطلاع دائم، وتأكد من تنفيذ تدابير أمنية فعّالة لحماية أنظمتك من هذه الهجمات المتطورة والمتنامية.
