هشدارهای افتایی
گروه جدیدی از مجرمین سایبری، از پاییز گذشته، با هک‌کردن سرورهای لینوکس، گونه‌ی جدیدی از بد‌افزارها را، که به استخراج رمزارز می‌پردازد، بر روی آن‌ها نصب کرده‌اند. این گروه جدید که با نام Pacha Group معرفی شده، سرورهای لینوکس را به طور مستقیم هدف قرار نمی‌دهد، بلکه هدف، برنامه‌هایی است که بر روی این سرور‌ها اجرا می‌شوند.
به گفته کارشناسان، هکرهای Pacha Group از حملات جستجوی فراگیر (Brute-force) برای نفوذ به سرویس‌هایی مانند وردپرس و PhpMyAdmin استفاده کرده و پس از نفود اولیه، با افزایش دسترسی خود به سرور پایه، بدافزار خود را به آن منتقل‌می‌کنند. این بدافزار Linux.GreedyAntd نامیده شده است.
گزارشی از یک پژوهشگر امنیتی چینی بیانگر اولین مشاهده Antd در اواسط سپتامبر 2018 است. کد منبع این بدافزار با کدمنبع گونه‌ی دیگری از بدافزار که در ماه ژانویه امسال کشف و Linux.HelloBot نام گرفته بود و توسط همین گروه استفاده می‌شد، دارای اشتراکاتی است. 
نشانه‌ها حاکی از توسعه و تست بدافزار به صورت موازی توسط هکرها و استفاده از Antd برای عملیات‌های فعلی است. این بدافزار قطعه پیچیدهای از کد است که برمبنای یک ساختار ماژولار و برای کار با چندین سرور فرمان و کنترل طراحی شده است.
می‌توان گفت که دلیل اصلی داشتن چنین زیرساخت گسترده‌ای با تعداد زیادی از اجزای سازنده، این است که بدافزار را در برابر خاموش‌شدن سرور مقاوم‌تر کرده و همچنین فاکتور ماژولار بودن آن را تامین کند. همچنین، داشتن این مقدار اجزای درونی متصل به یکدیگر، بیانگر نیاز به تلاش بسیار بیشتری برای پاکسازی یک سیستم آسیب‌دیده است.
عملیات پاکسازی نیز دشوار خواهد بود، زیرا Antd لزوما مانند بیشتر بدافزارهای لینوکس رفتار نمی‌کند. Antd از یک cronjob جعلی برای به دست‌آوردن حضور و دسترسی در سیستم‌های آلوده استفاده نمی‌کند، بلکه، یک سرویس Systemd را که از سرویس مجاز mandb تقلید می‌کند، به سیستم اضافه می‌کند. به استثنای شرایطی که پژوهشگران از آنچه که به دنبالش هستند اطلاع دقیق دارند، شناسایی درپشتی Antd دشوار بوده به احتمال زیاد سرورها دوباره آلوده خواهند شد.
علاوه بر این، Pacha Group از گنجاندن بخش کاوشگر رمزارز در بدافزار اهداف خاصی داشته‌اند. پژوهشگران می‌گویند این ماژول Antd یک نسخه اصلاح‌شده از گونه‌ی XMRig است که از پروتکل اکتشاف Stratum  استفاده می‌کند، اما به جای ذخیره‌سازی فایل‌های پیکربندی محلی، از یک سرویس پروکسی برای مخفی کردن تنظیمات و آدرس کیف‌پول خود استفاده می‌کند. این کار باعث سخت‌شدن ردیابی عملیات، در مقایسه با دیگر گروه‌های بدافزار کاوشگر، می‌شود.
علاوه بر این، بخش کاوشگر دارای یک "لیست مرگ" برای از بین بردن فرآیندهای پردازشی کاوشگران دیگر است. با این وجود، این اولین بار نیست که چنین ویژگی در یک بدافزار مشاهد شده‌است.
در حال حاضر، صاحبان سرورهای لینوکس باید از وجود این تهدید آگاه باشند. شاید هکرها مستقیما به سیستم‌های آن‌ها حمله نکنند، اما مدیران باید اطمینان حاصل‌کنند برنامه‌هایی که در سرور اجرا می‌شوند، به‌روز بوده و از کلمه عبور پیش فرض یا آسان برای حساب‌های مدیریتی استفاده نمی‌کنند.
منبع : 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.