استغلال ثغرة Apache لنشر عامل تعدين Linuxsys
Hackers Exploit Apache HTTP Server Flaw to Deploy Linuxsys Cryptocurrency Miner
إعداد: مايسترو نيرو - قسم الأمن السيبراني
رصد باحثون في مجال الأمن السيبراني حملة جديدة تستغل ثغرة خطيرة في خوادم Apache HTTP Server لنشر برمجية تعدين للعملات الرقمية تُدعى Linuxsys.
الثغرة المستغلة هي CVE-2021-41773 (درجة CVSS: 7.5)، وهي ثغرة تجاوز المسار (Path Traversal) في الإصدار 2.4.49 من Apache، يمكن استغلالها لتنفيذ أوامر عن بُعد.
طريقة الهجوم
يقوم المهاجمون بتوزيع البرمجية الخبيثة عبر مواقع شرعية مخترقة، مما يصعّب من اكتشافها. يتم تحميل ملف Shell Script من موقع خبيث يُدعى repositorylinux[.]org باستخدام أدوات مثل curl أو wget.
الملف المسؤول يقوم بتنزيل أداة تعدين العملات من عدة مواقع موثوقة تم اختراقها. ويحتوي أيضًا على ملف cron.sh لضمان تشغيل عامل التعدين عند كل إعادة تشغيل للنظام.
تحليل البنية التحتية والهجمات المرتبطة
تم التعرف على الحملة انطلاقًا من عنوان IP إندونيسي: 103.193.177[.]152. بعض البرمجيات الموزعة تحتوي على تعليقات بلغة السوندانية المحلية، مما يشير إلى أصول محتملة.
لوحظ أيضًا وجود ملفات خبيثة موجهة لنظام Windows على نفس البنية التحتية، مما يفتح الباب لاحتمالية استهداف أجهزة سطح المكتب كذلك.
ثغرات أخرى استُغلت لنشر نفس العامل
- CVE-2024-36401 - ثغرة خطيرة في OSGeo GeoServer (درجة CVSS: 9.8)
- CVE-2023-22527 - استغلال قوالب في Atlassian Confluence
- CVE-2023-34960 - تنفيذ أوامر في Chamilo LMS
- CVE-2023-38646 - تنفيذ أوامر في Metabase
- CVE-2024-0012 و CVE-2024-9474 - تجاوز مصادقة وتصعيد صلاحيات في Palo Alto Networks
ملاحظات ختامية
تشير التحليلات إلى أن المهاجمين يتبعون نهجًا طويل الأمد، يعتمد على استغلال ثغرات N-day، واستضافة البرمجيات على مواقع شرعية، والابتعاد عن الأنظمة المزيفة مثل Honeypots منخفضة التفاعل.
كل هذه الأساليب تهدف لتجنب الاكتشاف والبقاء لأطول فترة ممكنة على الأجهزة المصابة لجني العملات الرقمية سرًا.
آخر تحديث: 20 يوليو 2025