Soco404 وKoske: برمجيات خبيثة تستهدف السحابة عبر تعدين العملات الرقمية

تستهدف البرمجيات الخبيثة Soco404 وKoske بيئات السحابة عبر هجمات معقدة لتعدين العملات الرقمية، مما يسلط الضوء على أهمية الأمان في هذه الأنظمة.

الهجمات الخبيثة Soco404 وKoske تستهدف خدمات السحابة عبر هجمات تعدين العملات الرقمية متعددة المنصات

كشفت فرق البحث عن التهديدات عن حملتين مختلفتين من البرمجيات الخبيثة التي استهدفت الثغرات وسوء التكوينات في بيئات السحابة لتقديم برامج تعدين العملات الرقمية.

تمت تسمية مجموعات النشاط التهديدي بـ Soco404 وKoske من قبل شركات الأمن السحابي Wiz وAqua، على التوالي.

حملة Soco404

تستهدف Soco404 كل من أنظمة Linux وWindows، حيث تنشر برمجيات خبيثة خاصة بكل منصة، كما ذكر الباحثون في Wiz ماور دوخانين، شاهر دورفمان، وأفيغاييل ميتشينجر. “يستخدمون تمويه العمليات لتخفي الأنشطة الخبيثة كعمليات نظام مشروعة.”

تشير النشاطات إلى أن الحمولة مدمجة في صفحات HTML مزيفة 404 مستضافة على مواقع تم بناؤها باستخدام Google Sites. وقد تم إغلاق المواقع المزيفة من قبل Google.

قدرت Wiz أن الحملة، التي تم ملاحظتها سابقًا تستهدف خدمات Apache Tomcat ذات بيانات الاعتماد الضعيفة، بالإضافة إلى خوادم Apache Struts وAtlassian Confluence القابلة للاختراق باستخدام شبكة Sysrv، هي جزء من بنية تحتية أوسع للاحتيال على العملات الرقمية، بما في ذلك منصات تداول العملات الرقمية المزيفة.

تم العثور على الحملة الأخيرة أيضًا تستهدف مثيلات PostgreSQL المتاحة للجمهور، حيث يستغل المهاجمون أيضًا خوادم Apache Tomcat المخترقة لاستضافة الحمولات المعدة لكل من بيئات Linux وWindows. كما تم اختراق موقع نقل كوري شرعي لتوصيل البرمجيات الخبيثة.

بمجرد الحصول على الوصول الأولي، يتم استغلال الأمر SQL COPY … FROM PROGRAM في PostgreSQL لتشغيل أوامر شل عشوائية على المضيف وتحقيق تنفيذ كود عن بُعد.

“يبدو أن المهاجم وراء Soco404 يقوم بإجراء عمليات مسح آلية للخدمات المكشوفة، بهدف استغلال أي نقطة دخول متاحة،” قالت Wiz. “تظهر استخدامهم لمجموعة واسعة من أدوات الإدخال، بما في ذلك أدوات Linux مثل wget وcurl، بالإضافة إلى أدوات Windows الأصلية مثل certutil وPowerShell، استراتيجية انتهازية.”

على أنظمة Linux، يتم تنفيذ سكربت شل مباشر في الذاكرة لتنزيل وإطلاق حمولة المرحلة التالية، بينما يتخذ في الوقت نفسه خطوات لإنهاء برامج التعدين المنافسة لتعظيم الربح المالي وتقليل الرؤية الجنائية من خلال الكتابة فوق السجلات المرتبطة بـ cron وwtmp.

الحمولة المنفذة في المرحلة التالية هي ثنائية تعمل كحمولة لمعدن عن طريق الاتصال بالنطاق الخارجي (“www.fastsoco[.]top”) الذي يستند إلى Google Sites.

تستفيد سلسلة الهجوم على Windows من الأمر الأول بعد الاستغلال لتنزيل وتنفيذ ثنائية Windows، والتي، مثل نظيرتها في Linux، تعمل كحمولة تدمج كل من المعدن وسائق WinRing0.sys، والذي يستخدم للحصول على صلاحيات NTSYSTEM.

بالإضافة إلى ذلك، تحاول البرمجيات الخبيثة إيقاف خدمة سجل أحداث Windows وتنفيذ أمر حذف ذاتي لتجنب الكشف.

“بدلاً من الاعتماد على طريقة واحدة أو نظام تشغيل واحد، يقوم المهاجم بإلقاء شبكة واسعة، حيث ينشر أي أداة أو تقنية متاحة في البيئة لتقديم حمولتهم،” قالت الشركة. “تعتبر هذه المقاربة المرنة سمة من سمات حملة تعدين العملات الرقمية الآلية الواسعة التي تركز على تعظيم الوصول والثبات عبر أهداف متنوعة.”

ظهور Koske

يتزامن اكتشاف Soco404 مع ظهور تهديد جديد على Linux يُدعى Koske، والذي يُشتبه في تطويره بمساعدة نموذج لغة كبير (LLM) ويستخدم صورًا تبدو غير ضارة من الباندا لنشر البرمجيات الخبيثة.

تبدأ الهجمة باستغلال خادم مُسَاء التكوين، مثل JupyterLab، لتثبيت سكربتات مختلفة من صورتين JPEG، بما في ذلك rootkit قائم على C يُستخدم لإخفاء الملفات المتعلقة بالبرمجيات الخبيثة باستخدام LD_PRELOAD وسكربت شل يقوم في النهاية بتنزيل برامج تعدين العملات الرقمية على النظام المصاب. يتم تنفيذ كلا الحمولين مباشرة في الذاكرة لتجنب ترك آثار على القرص.

الهدف النهائي لـ Koske هو نشر برامج تعدين العملات الرقمية المحسنة لوحدة المعالجة المركزية ووحدة معالجة الرسوميات التي تستفيد من موارد الحسابات للمضيف لتعدين 18 عملة مختلفة، مثل Monero وRavencoin وZano وNexa وTari، من بين أخرى.

“هذه الصور هي ملفات متعددة الاستخدامات، مع حمولات ضارة مضافة في النهاية. بمجرد تنزيلها، تستخرج البرمجيات الخبيثة وتنفذ الأجزاء الضارة في الذاكرة، متجاوزة أدوات مكافحة الفيروسات،” قال الباحث في Aqua أساف موراج.

“هذه التقنية ليست علم التشفير بل استغلال الملفات متعددة الاستخدامات أو تضمين الملفات الضارة. تستخدم هذه التقنية ملف JPG صالح مع كود ضار مخفي في النهاية. يتم تنزيل وتنفيذ آخر بايتات فقط، مما يجعلها شكلًا خفيًا من استغلال الملفات متعددة الاستخدامات.”

إن فهم كيفية عمل هذه البرمجيات الخبيثة يساعد في تعزيز الأمن السيبراني وحماية البيانات في بيئات السحابة.