استغلال ثغرات الخادم للحصول على عملات مشفرة
قد ألقى مجموعة من خبراء الأمن الضوء على تكتيكات عصابة 8220، كاشفين عن مخططات تعدين العملات المشفرة التي تستغل الثغرات في خوادم Oracle WebLogic. اكتشفت Trend Micro، الشركة البارزة في مجال الأمن السيبراني، نمط عمل لكيان أطلق عليهم اسم Water Sigbin. تشتهر المجموعة بالاستفادة من نقاط ضعف أمنية معينة، بما في ذلك CVE-2017-3506، CVE-2017-10271، وأحدثها CVE-2023-21839، كممرات لنشر برامج الاستعباد للعملات المشفرة.
تتميز النهج الذي يعتمده Water Sigbin بالخفاء، حيث يستخدمون طرق تنفيذ ملفية معقدة. تشمل هذه العمليات الاستنساخ الديناميكي للمكتبة الديناميكية وحقن العمليات، مما يمكن البرامج الضارة من التشغيل مباشرة في ذاكرة الكمبيوتر، تجنبًا لأساليب الكشف النموذجية التي تعتمد على وجود ملفات على القرص.
تقنيات التمويه والتهرب الذكية
بمجرد تأسيس وجود على الخادم المستهدف، يقوم Water Sigbin بتشغيل نص PowerShell لبدء عملية هجوم متعددة المراحل، يقمون خلالها بتمويه أفعالهم باستخدام أسماء تطبيقات شرعية. تتابع سلسلة الهجوم بنشر ملف ثنائي مموه يُشغّل مكتبة ديناميكية للقيام بالتنفيذ. هذا الوكيل الوسيط، المعروف باسم PureCrypter، مكلف بجمع معلومات النظام وإعداد جهاز الاستعباد للعملات المشفرة، بينما تُبذل جهود لجعله غير مرئي لبرنامج مكافحة الفيروسات Defender من Microsoft.
يسمح التفاعل مع خادم التحكم والتحكم عن بُعد بتلقي البرنامج الضار بتعليمات مشفرة تيسر الحصول على العنصر المنقب عن العملات المشفرة. يتم تمويه هذا العنصر التنقيبي كبرنامج حقيقي من ميكروسوفت لتجنب الكشف عنه.
توزيع برامج ضارة تابعة للأضرار بواسطة 8220 عصابة
في تطور مثير للاهتمام، رصد فريق QiAnXin XLab أداة جديدة تم نشرها بواسطة نفس العصابة، يشار إليها بـ k4spreader، لتوزيع مجموعة من الحمولات الضارة، بما في ذلك شبكة Tsunami DDoS ومنقب PwnRig. تستغل هذه البرامج الضارة المتعددة الوظائف، التي لا تزال تحت التطوير، ثغرات مشابهة لنشر نفسها، مع ميزات مثل الحفظ الذاتي والتحديث وإيقاف شبكات اختراق منافسة.
يُشير التطوير المستمر والتطويرات في الأدوات مثل k4spreader إلى التهديد المستمر الذي يمثله مثل هذه العصابات للخوادم الضعيفة والأنظمة في جميع أنحاء العالم.
فهم المخاطر والآثار لهجمات خادم WebLogic Server
يتم استخدام خوادم Oracle WebLogic على نطاق واسع لبناء ونشر تطبيقات المؤسسة. يمكن للثغرات التي يستغلها Water Sigbin أن تسمح للمهاجم بتنفيذ أكواد تعسفية عن بعد، مما قد يؤدي إلى استيلاء كامل على النظام، سرقة البيانات، تعطيل الخدمات، وفي هذه الحالة، تعدين العملات المشفرة. غالبًا ما يبحث المهاجمون عن مثل هذه الأهداف ذات القيمة العالية لأنها تمتلك موارد حوسبة كبيرة يمكن استخدامها لتعدين العملات المشفرة بكفاءة.
يمكن أن يسبب تعدين العملات المشفرة، على الرغم من أنه يبدو غير ضار مقارنة بالسرقة أو التجسس، خسائر مالية كبيرة للمؤسسات. إنه يستهلك كميات هائلة من القدرة الحوسبية والكهرباء، مما يؤدي إلى زيادة التكاليف التشغيلية. بالإضافة إلى ذلك، يمكن أن يؤدي وجود منقب إلى تدهور أداء تطبيقات الأعمال الحرجة واستقرارها.
برامج تعدين العملات المشفرة: تحدي مستمر
تتضمن الأسئلة الأهم المرتبطة بهذا الموضوع ما يلي:
– كيف يمكن للمؤسسات كشف ومنع هجمات البرامج الضارة الخالية من الملفات؟: التحقق من البرامج الضارة يعتبر تحديًا بسبب تقنيات التهرب المستخدمة. الحلول تشمل تعزيز آليات الكشف القائمة على السلوك واستخدام أنظمة حماية متقدمة من التهديدات تراقب الأنشطة في الذاكرة.
– ما هي أفضل الممارسات لتصحيح وتأمين خوادم WebLogic؟: تطبيق التصحيحات الأمنية بانتظام المقدمة من إكسير وفرض ضوابط وصول صارمة يمكن أن يقلل من المخاطر. على المؤسسات أيضًا إجراء فحوصات دورية ومراقبة حركة الشبكة بحثًا عن علامات الاختراق.
– ما هو أهمية استخدام تقنيات الاستنساخ الديناميكي للمكتبة وحقن العمليات؟: تتيح هذه التقنيات للمهاجم تنفيذ رموز ضارة في الذاكرة دون ترك آثار على نظام الملفات، مما يجعل الكشف والتحقيق الجنائي أكثر صعوبة.
التحدي الرئيسي في التعامل مع تهديدات الأمن مثل هذه هو مواكبة وتتبع وتطور الثغرات الجديدة والمتغيرات الضارة. بالإضافة إلى ذلك، تواجه المؤسسات غالبا مع موازنة بين استمرارية العمليات ووقت التوقف الضروري لتطبيق التصحيحات والتحديثات.
المزايا والعيوب
تشمل مزايا التدابير الأمنية الفعالة حماية البيانات الحساسة، صيانة سلامة الخادم، ومنع استخدام الموارد غير المصرح به لتعدين العملات المشفرة. ومع ذلك، قد تؤدي تدابير الأمان الصارمة إلى زيادة الأعباء الإدارية وربما تعطيل الخدمات الحرجة إذا لم يتم إدارتها بشكل سليم.
إذا كنت ترغب في معرفة المزيد عن رؤى تريند مايكرو في مجال الأمن السيبراني، قم بزيارة موقعهم على الويب على Trend Micro.
للمزيد من المعلومات حول التحذيرات الأمنية والتصحيحات الأخيرة لخادم Oracle WebLogic، قم بزيارة موقع Oracle الرسمي على Oracle.
قد تنشأ الجدليات من التوازن بين متابعة التحديثات والجدول الزمني لذلك في بيئات الشركات الكبيرة المعقدة حيث يمكن أن تُدخل التغيرات قضايا جديدة أو وقت توقف. على الرغم من هذه التحديات، يجعل التهديد المستمر بمثل هذه الهجمات المعقدة من الضروري أن تحافظ المؤسسات على ممارسات أمان سيبراني صارمة.