GeoServer يستغل ثغرات PolarEdge و Gayfemboy لدفع الجريمة السيبرانية خارج شبكات البوت التقليدية

مايسترو نيرو - قسم شبكة البوت الخاصة بالإنترنت / أمن السحابة

يُشير باحثون في مجال الأمن السيبراني إلى حملات متعددة تستغل ثغرات أمنية معروفة وخوادم Redis المكشوفة لأنشطة ضارة متنوعة، بما في ذلك استخدام الأجهزة المخترقة كشبكات بوت للإنترنت أو بروكسيات سكنية أو بنية تحتية لتعدين العملات المشفرة.

تشمل المجموعة الأولى من الهجمات استغلال CVE-2024-36401 (CVSS score: 9.8)، وهي ثغرة حرجة لتنفيذ تعليمات عن بُعد تؤثر على OSGeo GeoServer GeoTools وقد تم استغلالها في الهجمات السيبرانية منذ أواخر العام الماضي.

"استخدم المجرمون هذه الثغرة لنشر أدوات تطوير برمجيات مشروعة (SDKs) أو تطبيقات معدلة للحصول على دخل سلبي من خلال مشاركة الشبكة أو البروكسيات السكنية،" قال الباحثون في Palo Alto Networks Unit 42، زهيبين تشانغ، وييهنغ آن، وتشاو لي، وهوزه تشانغ في تقرير تقني.

"هذه الطريقة لتوليد الدخل السلبي مُتخفية بشكل خاص. إنها تحاكي استراتيجية تحقيق أرباح تستخدمها بعض تطبيقات المطورين الشرعيين الذين يختارون SDKs بدلاً من عرض الإعلانات التقليدية. يمكن أن يكون هذا خياراً مُقصوداً يحمي تجربة المستخدم ويحسن احتفاظ التطبيق."

الهجمات:

ذكرت شركة الأمن السيبراني أنها راقبت محاولات اختراق مثيلات GeoServer المكشوفة على الإنترنت منذ بداية مارس 2025 على الأقل، مستغلة الوصول لإسقاط ملفات تنفيذية مخصصة من خوادم يتحكم فيها المهاجمون. يتم توزيع الحمولات الضارة عبر مثيل خاص من خادم مشاركة ملفات باستخدام transfer.sh، بدلاً من خادم ويب HTTP التقليدي.

التطبيقات المستخدمة في الحملة تهدف إلى التخفي من خلال استهلاك موارد قليلة، بينما تستغل عرض نطاق ترددي للضحايا بشكل خفي دون الحاجة إلى توزيع برامج ضارة مخصصة. تمت كتابة الثنائيات بلغة Dart، ومصممة للتفاعل مع خدمات الدخل السلبية المشروعة، وتستخدم موارد الجهاز بشكل خفي لأنشطة مثل مشاركة عرض النطاق الترددي.