بعد اكتشاف شبكة الإنترنت الضخمة من برنامج VPNFilter malware botnet ، كشف باحثون أمنيون الآن عن شبكة أخرى من الروبوتات العملاقة التي تسببت بالفعل في اختراق أكثر من 40.000 خادم ومودم وأجهزة متصلة بالإنترنت تنتمي إلى عدد كبير من المنظمات في جميع أنحاء العالم.
وقد أطلقت الحملة ، التي أطلق عليها اسم Prowli ، البرامج الضارة وحقن شفرة خبيثة لتولي الخوادم ومواقع الويب في جميع أنحاء العالم باستخدام تقنيات هجوم متنوعة ، بما في ذلك استخدام المآثر وكلمات المرور وإثارة التلاعب الضعيف.
اكتشفها الباحثون في فريق الأمن GuardiCore ، عملية Prowli وقد بلغ بالفعل أكثر من 40000 جهاز ضحية من أكثر من 9000 شركة في مختلف المجالات ، بما في ذلك المالية والتعليم والمنظمات الحكومية.
إليك قائمة الأجهزة والخدمات المصابة بالبرامج الضارة من Prowli:
- خوادم Drupal و WordPress CMS التي تستضيف مواقع الويب الشهيرة
- جملة! خوادم تشغيل الامتداد K2
- خوادم النسخ الاحتياطي التي تعمل على برنامج HP Data Protector
- مودم DSL
- الخوادم بمنفذ SSH مفتوح
- المنشآت PhpMyAdmin
- مربعات NFS
- الخوادم مع منافذ SMB المكشوفة
- أجهزة إنترنت الأشياء (IoT) المعرضة للخطر
تم إصابة جميع الأهداف المذكورة أعلاه إما باستخدام ثغرة معروفة أو تخمينات اعتماد.
Prowli Malware Injects Cryptocurrency Miner
بما أن المهاجمين الذين يقفون وراء هجوم Prowli يسيئون استخدام الأجهزة والمواقع الإلكترونية المصابة بالعدوى لإخفاء أو تحويل النص البرمجي الذي يعيد توجيههم إلى المواقع الخبيثة ، يعتقد الباحثون أنهم يركزون أكثر على صنع المال بدلاً من الإيديولوجية أو التجسس.
وفقًا لباحثين من GuardiCore ، تم العثور على الأجهزة المخترقة مصابة بفيروس Minter (XMR) من نوع cryptocurrency مينر و "r2r2" worm - وهي برامج ضارة مكتوبة في Golang تقوم بتنفيذ هجمات SSH الغاشمة من الأجهزة المصابة ، مما يسمح للبرامج الضارة من Prowli بالسيطرة على أجهزة جديدة.
وبكلمات بسيطة ، "يولد r2r2 عشوائياً عناوين عناوين بروتوكول الإنترنت (IP) ويحاول بشكل متكرر إلغاء تسجيلات الدخول إلى SSH باستخدام قاموس المستخدم وكلمة المرور. وبمجرد أن ينفصل ، فإنه يدير سلسلة من الأوامر على الضحية" ، يشرح الباحثون.
هذه الأوامر مسؤولة عن تحميل نسخ متعددة من الدودة لبنيات وحدة المعالجة المركزية المختلفة ، وعامل التعدين cryptocurrency وملف التكوين من خادم مشفر بعيد.
المهاجمين أيضا الحيل المستخدمين في تثبيت الامتدادات الخبيثة
وبالإضافة إلى استخدام عامل التعدين باستخدام cryptocurrency ، يستخدم المهاجمون أيضًا ويب مفتوح المصدر معروفًا باسم "WSO Web Shell" لتعديل الخوادم المخترقة ، مما يسمح في النهاية للمهاجمين بإعادة توجيه زائري المواقع إلى المواقع المزورة التي توزع امتدادات المستعرضات الضارة .
تتبع فريق GuardiCore الحملة عبر العديد من الشبكات في جميع أنحاء العالم وعثر على حملة Prowli المرتبطة بالصناعات المختلفة.
وقال الباحثون "خلال فترة 3 أسابيع ، استولت على عشرات من هذه الهجمات في اليوم من أكثر من 180 IPs من مجموعة متنوعة من البلدان والمنظمات". "قادتنا هذه الهجمات إلى التحقيق في البنية التحتية للمهاجمين واكتشاف عملية واسعة النطاق تهاجم العديد من الخدمات".
كيفية حماية الأجهزة الخاصة بك من هجمات البرمجيات الخبيثة تشبه Prowli
ونظرًا لأن المهاجمين يستخدمون مزيجًا من نقاط الضعف المعروفة والتخمينات المعتمدة للتنازل عن الأجهزة ، فيجب أن يتأكد المستخدمون من أن أنظمتهم مصححة ومحدثة دائمًا ويستخدمون دائمًا كلمات مرور قوية لأجهزتهم.
علاوة على ذلك ، يجب على المستخدمين أيضًا النظر في إغلاق الأنظمة وتقسيم الأنظمة الضعيفة أو التي يصعب تأمينها ، وذلك لفصلها عن بقية شبكتها.
في أواخر الشهر الماضي ، تم العثور على بوت نت ضخمة ، أطلق عليها اسم VPNFilter ، وأصابت نصف مليون من أجهزة التوجيه وأجهزة التخزين من مجموعة واسعة من الشركات المصنعة في 54 دولة مع وجود برامج ضارة لديها القدرة على إجراء العمليات السيبرانية المدمرة ، والمراقبة والرجال في الهجمات المتوسطة.