هاكر يستغل ثغرة Apache لإسقاط حمولة Cryptominer لنظام Linuxsys

الرئيسيةالأخبار* كشف الباحثون عن هجوم جديد يستغل ثغرة معروفة في خادم Apache HTTP لنشر مُعدِّن العملة الرقمية Linuxsys.

• يستخدم المهاجمون مواقع ويب شرعية تم اختراقها وعيب تجاوز المسار CVE-2021-41773 لتجنب الكشف ونشر البرمجيات الخبيثة.
• يتم توزيع البرمجيات الخبيثة من خلال سكربتات الشيل وتبدأ تلقائيًا بعد إعادة تشغيل النظام؛ تظهر الأدلة أن التهديد يستهدف أيضًا أنظمة ويندوز.
• تستغل هذه الحملة ثغرات برمجية معروفة متعددة، مما يشير إلى جهد منسق طويل الأجل للتعدين غير المشروع للعملات.
• تستخدم حملة منفصلة ثغرة متقدمة تُدعى GhostContainer لاستهداف خوادم تبادل الحكومة في آسيا للتجسس. حددت شركات الأمن السيبراني حملة جديدة من البرمجيات الضارة حيث يستغل المهاجمون ثغرة أمنية في خادم Apache HTTP لتوزيع أداة تعدين العملات المشفرة المسماة Linuxsys. الهجمات، التي تم اكتشافها في يوليو 2025، تستهدف بشكل خاص خلل CVE-2021-41773 في إصدار Apache 2.4.49، مما يسمح للمستخدمين غير المصرح لهم بتشغيل الشيفرة عن بُعد على الخوادم الضعيفة.

• إعلان - يقوم المهاجمون بتوزيع البرمجيات الخبيثة من خلال اختراق المواقع الشرعية واستخدامها كنقاط تسليم. وفقًا لـ VulnCheck، يبدأ المهاجمون العدوى من عنوان IP إندونيسي ويستخدمون خادم تنزيل، "repositorylinux[.]org"، لجلب نصوص شل الخبيثة. هذه النصوص مسؤولة عن تنزيل عامل التعدين Linuxsys من مجالات موثوقة مختلفة، مما يجعل عملية الكشف أكثر صعوبة نظرًا لأن الاتصالات تستخدم شهادات SSL صالحة.

يقوم البرنامج النصي الخاص بالشل بأتمتة عملية التثبيت ويسقط برنامج نصي آخر، "cron.sh"، الذي يضمن تشغيل المعدن في كل مرة يتم فيها إعادة تشغيل النظام. رصد VulnCheck أن بعض المواقع المخترقة تحتوي أيضًا على ملفات برامج ضارة لنظام Windows، مما يشير إلى أن نطاق الحملة قد يمتد إلى ما هو أبعد من أنظمة Linux. استغل المهاجمون سابقًا ثغرات حرجة، مثل خلل في OSGeo GeoServer GeoTools (CVE-2024-36401)، لأنشطة التعدين المماثلة. تشير التعليقات داخل شفرة المصدر للبرامج الضارة إلى أنها مكتوبة بلغة سوندانية، مما يوحي بوجود صلة بإندونيسيا.

تتضمن الثغرات البرمجية الأخرى المستخدمة في الهجمات السابقة لنشر المُعدن حقن القوالب في Atlassian Confluence (CVE-2023-22527)، حقن الأوامر في Chamilo LMS (CVE-2023-34960)، وعيوب مماثلة في Metabase وجدران الحماية Palo Alto (CVE-2024-0012 و CVE-2024-9474). "كل هذا يدل على أن المهاجم كان يقوم بحملة طويلة الأمد، مستخدمًا تقنيات متسقة مثل استغلال n-day، وتحضير المحتوى على المضيفين المخترقين، وتعدين العملات على أجهزة الضحايا،" أفادت VulnCheck.

في حادث منفصل، حذرت كاسبرسكي من هجوم مستهدف ضد خوادم الحكومة في آسيا من خلال برنامج ضار مخصص يسمى GhostContainer. قد يكون المهاجمون قد استغلوا خطأ تنفيذ التعليمات البرمجية عن بُعد (CVE-2020-0688) في خوادم Microsoft Exchange. يسمح هذا الباب الخلفي بالوصول الكامل إلى الخوادم المخترقة دون الاتصال بمراكز الأوامر الخارجية، حيث يتم إخفاء التعليمات داخل طلبات الويب العادية، مما يزيد من التمويه.

تظهر الحملات استهدافًا مستمرًا للعيوب البرمجية المعروفة علنًا وتكتيكات متطورة للحفاظ على ملف منخفض أثناء تنفيذ عمليات التعدين والتجسس.

المقالات السابقة:

• تهديد ترامب بالرسوم الجمركية يعرقل دفع مجموعة بريكس نحو عملة مشتركة
• حصلت Axiology في ليتوانيا على ترخيص DLT لتداول السندات الرقمية
• بلاك روك تستثمر 916 مليون دولار في بيتكوين وإيثيريوم مع ارتفاع حيازات العملات المشفرة
• البيتكوين يصل إلى 123,000 دولار مع تقرير مجموعة العمل الخاصة بترامب الذي يثير ضجة في السوق
• XRP تقترب من 200 مليار دولار في القيمة السوقية، ترتفع بنسبة 35% مقابل البيتكوين في يوليو

• إعلان -