MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
botnet

new botnet is quietly hijacking Linux-based IoT devices


 

بوت نت جديدة باسم PumaBot تستهدف أجهزة IoT العاملة بنظام Linux لسرقة بيانات SSH وتعدين العملات الرقمية

أصبحت أجهزة إنترنت الأشياء (IoT) التي تعتمد على نظام Linux المضمّن هدفًا لبوت نت جديدة تُعرف باسم PumaBot.

تمت برمجة هذه البوت نت باستخدام لغة Go، وهي مصممة لتنفيذ هجمات تخمين كلمات المرور (Brute-force) على بروتوكول SSH لتوسيع سيطرتها ونشر برمجيات إضافية على الأجهزة المصابة.

وفقًا لتحليل صادر عن شركة Darktrace، لا تقوم البرمجية الضارة بمسح الإنترنت عشوائيًا، بل تحصل على قائمة أهدافها من خادم تحكم وسيطرة (C2)، ثم تبدأ في محاولة تخمين بيانات تسجيل الدخول إلى SSH. بعد الوصول، يتم تلقي أوامر عن بُعد وإنشاء آلية للبقاء عبر ملفات خدمة systemd.

آلية العمل

تحصل البوت نت على قائمة عناوين IP تحتوي على منافذ SSH مفتوحة من الخادم الخارجي:

ssh.ddos-cc[.]org

تقوم البرمجية بمحاولات لتخمين بيانات الدخول، وتتحقق مما إذا كان النظام عبارة عن فخ (honeypot) أو غير مناسب، كما تتحقق من وجود الكلمة "Pumatronix" (وهي شركة مصنعة لأنظمة المراقبة وكاميرات المرور) إما لاستهدافها تحديدًا أو لتجنبها.

بعد الدخول، تجمع البرمجية معلومات أساسية عن النظام وترسلها إلى خادم C2، ثم تكتب نفسها في المسار:

/lib/redis

وذلك في محاولة لإخفاء نفسها على أنها ملف Redis شرعي، ثم تنشئ خدمة systemd دائمة في:

/etc/systemd/system

باسم redis.service أو mysqI.service (لاحظ استخدام حرف I بدلًا من L في mysql). هذه الحيلة تهدف لجعل العملية تبدو شرعية وتسمح للبرمجية بالبقاء بعد إعادة تشغيل الجهاز.

تُظهر التحليلات أن الأوامر التي تُرسل للجهاز المصاب تشمل:

  • xmrig – لتعدين العملات الرقمية
  • networkxm – لتنفيذ المزيد من الهجمات عبر SSH

مكونات الحملة الأوسع

وجدت Darktrace مكونات أخرى مرتبطة بالحملة تشمل:

  • ddaemon: باب خلفي مكتوب بلغة Go يستدعي الملف "networkxm" في المسار "/usr/src/bao/networkxm" ويشغل السكربت "installx.sh"
  • networkxm: أداة تخمين SSH تعمل مثل المرحلة الأولى للبوت نت وتقوم بجلب قائمة كلمات مرور من خادم C2
  • installx.sh: يقوم بتنزيل سكربت "jc.sh" من "1.lusyn[.]xyz"، يمنحه صلاحيات تنفيذ، ثم يشغله ويقوم بمسح سجل الأوامر
  • jc.sh: يستبدل الملف الأصلي "pam_unix.so" في النظام بملف خبيث، وينزل الملف "1" أيضًا لتشغيله
  • pam_unix.so: يعمل كـ rootkit يسرق بيانات الدخول عن طريق التقاط عمليات تسجيل الدخول الناجحة وكتابتها في الملف "/usr/bin/con.txt"
  • 1: يراقب الملف "con.txt" وإذا تم تعديله أو نقله إلى "/usr/bin/" يتم إرسال محتواه إلى نفس الخادم

التوصيات الأمنية

نظرًا لقدرة البرمجية على تنفيذ هجمات التخمين بطريقة تلقائية تجعلها شبيهة بالدودة (Worm-like)، يُوصى باتباع ما يلي:

  • مراقبة محاولات تسجيل الدخول عبر SSH، خصوصًا المحاولات الفاشلة
  • مراجعة خدمات systemd بانتظام
  • التحقق من ملفات authorized_keys للكشف عن مفاتيح SSH غير معروفة
  • تقييد الوصول عبر الجدار الناري على منافذ SSH
  • تصفية الطلبات HTTP التي تحتوي على رؤوس غير قياسية مثل: X-API-KEY: jieruidashabi

وفقًا لـ Darktrace: "تمثل هذه البوت نت تهديدًا مستمرًا مبنيًا بلغة Go، يستغل التخمين الآلي وكفاءة أدوات لينكس الأصلية للسيطرة على الأنظمة المصابة. من خلال تقمص ملفات النظام الشرعية واستغلال خدمات systemd والبقاء بعيدًا عن بيئات التحليل، تهدف البرمجية إلى البقاء غير مكشوفة لأطول فترة ممكنة."