في عالم الأمن السيبراني المتغير باستمرار، كشفت فرق البحث المتخصصة عن حملتين جديدتين للبرمجيات الخبيثة تستهدفان ثغرات وتكوينات غير صحيحة في بيئات السحابة بهدف نشر برامج تعدين العملات المشفرة. هذه الأنشطة الخبيثة تحمل أسماء رمزية هي Soco404 وKoske، وذلك وفقاً لشركات الأمن السحابي Wiz وAqua.

تحليل مفصل وسياق

تعمل الحملة Soco404 على استهداف أنظمة لينكس وويندوز، باستخدام برمجيات خبيثة مخصصة لكل منها. وأوضحت الباحثة معور دوخانيان وفريقها من Wiz أن هذه الحملة تستخدم تقنية التمويه (Process Masquerading) لإخفاء الأنشطة الخبيثة كعمليات نظام شرعية.

أظهرت التحقيقات أن الحمولة الخبيثة مُدمجة في صفحات HTML مزيفة تحمل رمز 404، والتي كانت تُستضاف على مواقع بُنيت باستخدام Google Sites، وقد أُزيلت هذه المواقع لاحقاً بواسطة جوجل. كما أشارت Wiz إلى أن الحملة سبق أن استهدفت خدمات Apache Tomcat التي تحتوي على بيانات اعتماد ضعيفة، بالإضافة إلى خوادم Apache Struts وAtlassian Confluence باستخدام البوتنت Sysrv.

التأثير والآثار الأمنية

تُعتبر هذه الحملة جزءاً من بنية تحتية أوسع للاحتيال في تداول العملات المشفرة، وتشمل استهداف خوادم PostgreSQL المتاحة للجمهور واستغلال خوادم Apache Tomcat المخترقة لاستضافة حمولة مصممة لكل من بيئات لينكس وويندوز. وقد اخترق المهاجمون أيضاً موقع نقل كوري شرعي لتسليم البرمجيات الخبيثة.

بمجرد الحصول على الوصول الأولي، يتم استغلال أمر PostgreSQL “COPY … FROM PROGRAM SQL” لتشغيل الأوامر البرمجية العشوائية على المضيف وتحقيق تنفيذ التعليمات البرمجية عن بعد.

رؤى الخبراء والتوسع

تكشف الهجمات المرتبطة بـ Soco404 عن استراتيجية انتهازية تعتمد على مسح تلقائي للخدمات المكشوفة بهدف استغلال أي نقطة دخول متاحة. وتُستخدم مجموعة واسعة من الأدوات مثل wget وcurl في أنظمة لينكس، وcertutil وPowerShell في أنظمة ويندوز، مما يعكس نهجاً مرناً في الحملات الخبيثة. وعلى أنظمة لينكس، يتم تنفيذ سكريبت قاذف (Dropper Shell Script) في الذاكرة مباشرة لتنزيل وتشغيل الحمولة التالية.

الحملات المتزامنة: ظهور Koske

يتزامن اكتشاف Soco404 مع ظهور تهديد جديد على لينكس يسمى Koske، يُعتقد أنه تم تطويره بمساعدة نموذج لغة كبير (LLM) ويستخدم صوراً لباندا تبدو بريئة لنشر البرمجيات الخبيثة. تبدأ الهجمات باستغلال خادم غير مُعد بشكل صحيح، مثل JupyterLab، لتثبيت سكربتات مختلفة من صورتين بصيغة JPEG، بما في ذلك جذر (Rootkit) يعتمد على لغة C يختبئ باستخدام LD_PRELOAD وسكربت شل يقوم بتنزيل برامج تعدين العملات المشفرة على النظام المصاب.

الهدف النهائي لـ Koske هو نشر برامج تعدين العملات المشفرة المحسنة لوحدات المعالجة المركزية ووحدات المعالجة الرسومية التي تستفيد من موارد الحوسبة للمضيف لتعدين 18 عملة مختلفة مثل Monero وRavencoin وZano وNexa وTari. هذه التقنية ليست ستجانوغرافيا بل هي إساءة استخدام لملفات البوليجلوت أو تضمين الملفات الخبيثة.

مناقشة وتفاعل

في ضوء هذه التهديدات المتزايدة، كيف يمكن للمؤسسات تحسين دفاعاتها ضد هذا النوع من الحملات الخبيثة؟ وما هي الإجراءات الوقائية الفعالة التي يمكن اتخاذها لحماية بيئات السحابة من مثل هذه الهجمات؟ شاركونا آراءكم وتفاعلاتكم على فيسبوك وتويتر.