تهدف حملة التشفير الجديدة التي تستفيد من خدمة نقل ملفات سطر أوامر شرعية ومفتوحة المصدر إلى استهداف خوادم قاعدة بيانات Redis التي تم تكوينها بشكل غير صحيح لتنفيذ هجومها.
قال فريق Cado Security، في تقريره المشارك مع موقع The Hacker News، إن هدف هذه الحملة هو استخدام خدمة نقل الملفات sh.، وقد يكون ذلك من أجل تجنب اكتشافهم بناءً على المجالات الشائعة الأخرى لاستضافة البرامج الضارة (مثل pastebin.com).
تقول شركة الأمن السحابية السيبراني أن تفاعل سطر الأوامر المرتبط بالنقل [.] sh يجعلها أداة ممتازة لاستضافة وتسليم البرامج الضارة.
للبدء في سلسلة الهجمات، يتم استهداف عمليات نشر Redis غير الآمنة، ثم يتم تسجيل وظيفة cron التي تقوم بتنفيذ تعليمات برمجية عشوائية عند تحليلها بواسطة المجدول. تم تصميم الوظيفة لاستخراج الحمولة المستضافة عند النقل [.] sh.
يجب الإشارة إلى استخدام آليات هجوم مماثلة سابقاً من قبل جهات تهديد أخرى كـ TeamTNT و WatchDog في عملياتهم للحصول على العملات الرقمية.
الحمولة هي برنامج نصي يحضر عامل منجم XMRig للعمل في عملات مشفرة، ويتطلب هذا البرنامج خطوات تحضيرية لتحرير الذاكرة وإنهاء عمال المناجم المتنافسين، وكذلك تثبيت أداة مسح ضوئي لشبكة تسمى pnscan للكشف عن خوادم Redis المعرضة للخطر ونشر العدوى.
قالت الشركة: "بالرغم من أن الهدف من هذه الحملة واضح وهو اختطاف موارد النظام لتعدين العملات المشفرة، إلا أن الإصابة بهذه البرامج الضارة قد يؤدي إلى تأثيرات غير مقصودة. يمكن للتكوين المتهور لأنظمة إدارة ذاكرة Linux تلف البيانات أو فقدان توفر النظام بسهولة."
هذا التطور يمثل تهديداً متطوراً لخوادم Redis بعد اكتشاف Redigo و HeadCrab في الأشهر الأخيرة.
تأتي النتائج في الوقت المناسب، إذ كشفت Avertium عن سلسلة هجمات جديدة تستهدف الخوادم SSH وتقوم بإجبار تنزيل برمجيات الخبيثة XorDdos botnet على الخوادم المتضررة، بهدف إطلاق هجمات رفض الخدمة الموزعة (DDoS) ضد الأهداف في الصين والولايات المتحدة.
قالت شركة الأمن السيبراني إنها لاحظت 1.2 مليون محاولة اتصال SSH غير مصرح بها عبر 18 موقع جذب بين 6 أكتوبر 2022 و 7 ديسمبر 2022، وذلك من قِبل جهة تهديدات مقرها الصين.
42٪ من هذه المحاولات جاءت من 49 عنوان IP مخصصة لشبكة مقاطعة جيانغسو ChinaNet، بينما جاءت النسبة الباقية من 8000 عنوان IP منتشرة في جميع أنحاء العالم.