حمله‌ی استخراج ارز مجازی کارگزارهای وب سراسر جهان را هدف قرار می‌دهد

کمیته رکن چهارم – پژوهش‌گران امنیتی یک خانواده‌ی بدافزار جدید را شناسایی کرده‌اند که کارگزارهای وب را در سراسر جهان را هدف قرار می‌دهد و تلاش می‌کند تا آن‌ها را با یک بات‌نت استخراج ارز مجازی آن‌ها را تحت تاثیر قرار دهد.

چک پوینت اعلام کرد: «این بدافزار که RubyMiner نام دارد، چند هفته پیش در حالی که تلاش می‌کرد تا یک حمله‌ی بزرگ را در کارگزار‌های وب آمریکا، آلمان، انگلیس، نروژ، و سوئد راه‌اندازی کند، کشف شد. مهاجمانی که پشت این بدازفزار هستند، تلاش کردند تا در طی یک روز تقریبا یک سوم شبکه را در سطح جهانی به خطر بیندازند.»

مهاجمان در طی این حمله هر دو کارگزارهای ویندوز و لینوکس را هدف قرار می‌دهند و سعی می‌کنند تا با بهره‌برداری از آسیب‌پذیری‌های قدیمی که در سال‌های ۲۰۱۲ و ۲۰۱۳ میلادی شناسایی و وصله شده‌اند، یک استخراج‌کننده‌ی ارز مجازی را نصب کنند. این مهاجمان به دنبال این نبودند که بتوانند به طور مخفیانه سامانه‌ها را تحت تاثیر قرار دهند، بلکه آن‌ها می‌خواستند در سریع‌ترین زمان ممکن به تعداد زیادی از کارگزارهای وب HTTP آسیب‌پذیر حمله کنند.

این پویش مخرب آسیب‌پذیری‌هایی را در نرم‌افزار‌های PHP، Microsoft IIS، Ruby on Rails هدف قرار می‌دهد. علی‌رغم تلاش‌های زیاد مهاجمان، در ۲۴ ساعت آغازین حملات فقط ۷۰۰ کارگزار در سراسر جهان تحت تاثیر قرار گرفته‌اند.

این حمله روی نرم‌افزار Ruby on Rails تلاش کرده است تا از یک آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۳-۰۱۵۶ که یک اشکال اجرای کد از راه دور است، بهره‌برداری کند. مهاجمان یک بارداده‌ی رمزنگاری‌شده‌ی base۶۴ را در قالب یک درخواست POST توزیع کرده و سعی می‌کنند تا مفسر Ruby روی کارگزار هدف آن را  فریب دهند تا این درخواست اجرا کند.

بار داده یک اسکریپت بَش است که برای اضافه کردن یک کرون‌جاب که هر ساعت اجرا می‌شود و بارگیری یک پرونده‌ی robots.txt طراحی شده است، این پرونده حاوی یک اسکریپت شِل است که برای واکشی و اجرای استخراج‌کننده‌ی ارز مجازی طراحی شده است. نه تنها فرآیند استخراج بلکه تمام عملیات بارگیری و اجرا نیز هر ساعت اجرا می‌شوند.

چک پوینت اظهار کرد: «این مسأله به مهاجم اجازه می‌دهد که یک کلید مرگ «kill switch» فوری را انجام دهد. اگر مهاجم بخواهد تا به این فرآیند در دستگاه‌های آلوده پایان دهد، تمام چیزی که نیاز دارد این است که تغییراتی را در پرونده‌ی robots.txt موجود در کارگزار وب آسیب‌دیده اعمال کند. در عرض یک دقیقه، تمام دستگاه‌هایی که این پرونده را دوباره بارگیری می‌کنند، پرونده‌هایی بدون استخراج‌کننده‌ی ارز مجازی دریافت خواهند کرد.»

بدافزار نصب شده در تمام کارگزارهای آسیب‌دیده XMRig است، این بدافزار یک استخراج‌کننده‌ی ارز مجازی است که در سپتامبر سال ۲۰۱۷ میلادی در یک حمله که از یک آسیب‌پذیری در نسخه ی ۶.۰ نرم‌افزار Microsoft IIS بهره‌برداری می‌کرد، مورد استفاده قرار گرفت.

یکی از دامنه‌هایی که در پویش مخربی که اخیرا شناسایی شده استفاده می‌شود، lochjol.com است که پیش از این نیز در یک حمله در سال ۲۰۱۳ میلادی مورد استفاده قرار گرفته بود. این حمله همچنین از آسیب‌پذیری نرم‌افزار Ruby on Rails سوء استفاده می‌کرد و نیز دارای ویژگی‌های مشترکی با حادثه‌ی فعلی است، اما پژوهش‌گران نمی‌توانند ارتباط بیشتری بین این دو حمله پیدا کنند، به خصوص که به نظر می‌رسد هدف این دو حمله متفاوت باشد.

منبع : news.asis.io

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.