پژوهشگران امنیتی به تازگی موفق شدند خانواده جدیدی از بدافزار ها را شناسایی کنند که به‌طور خاص، سرورهای وب در سراسر جهان را مورد هدف قرار داده‌اند.

هکرها برای استخراج ارز دیجیتال به سراغ وب‌سرور شما هم می‌آیند!

بدافزار

به نظر می‌رسد این حمله از جانب یک سازمان هکری به وقوع پیوسته است، به واسطه آن‌که بدافزار فوق در نظر داشت در یک روز نزدیک به یک سوم شبکه جهانی را تحت تاثیر خود قرار داده و به سوء استفاده از سرورها بپردازد.

این بدافزار به گونه‌ای طراحی شده است که سرورهای لینوکسی و ویندوزی را هدف قرار دهد.

بدافزار RubyMiner به منظور نصب یک استخراج‌کننده ارز دیجیتال، از آسیب‌پذیری‌ ثبت شده به شماره CVE-2013-0156 که در خلال سال‌های ۲۰۱۲ و ۲۰۱۳ میلادی شناسایی شد بهره برده است. (بعضی از شرکت‌ها وصله مربوطه را روی سرورهای خود نصب نکرده‌اند)

جالب آن‌که هکرها در ‌این راه هیچ‌گونه تلاشی نکرده‌اند تا فعالیت‌های خود را پنهان کنند، بلکه به دنبال آن بودند تا در اسرع وقت به حجم بسیار بالایی از سرورهای وب مبتنی بر پروتکل انتقال ابرمتن و آسیب‌پذیر حمله کنند. بدافزار فوق که در قالب یک کمپین مخرب عمل می‌کند، آسیب‌پذیری‌های موجود در نرم‌افزارهای Ruby On Rails، IIS مایکروسافت و پی‌اچ‌پی را هدف قرار می‌دهد.

هکرها برای استخراج ارز دیجیتال به سراغ وب‌سرور شما هم می‌آیند!

در این حمله هکرها موفق شدند در یک روز ۷۰۰ سرور که در کشورهای مختلف قرار داشتند را مورد حمله قرار دهند.

در حمله‌ای که Ruby On Rails را هدف قرار داده بود، هکرها از یک آسیب‌پذیری شناسایی شده (که هنوز ترمیم نشده بود) برای اجرای کدهای راه دور خود استفاده کردند. در این حمله هکرها یک بارداده (payload) کدگذاری شده در قالب base64 را همراه با دستور POST توزیع کرده و در ادامه مفسر زبان روبی که روی سرور هدف قرار داشت را فریب دهند، تا درخواست آن‌ها را اجرا کند.

این بار داده با هدف اضافه کردن یک کرون‌جاب (cronjob) به سرور که قادر بود در هر ساعت اجرا شده و فایل robots.txt را دانلود کند، به سرور تزریق می‌شد.

فایل فوق شامل یک اسکریپت شل بود که به منظور واکشی و در نهایت استخراج‌ ارز دیجیتال

هکرها برای استخراج ارز دیجیتال به سراغ وب‌سرور شما هم می‌آیند!

دامنه lochjol.com از جمله دامنه‌هایی است که در ارتباط با این کمپین هکری شناسایی شده است. دامنه‌ای که پیش از این در سال ۲۰۱۳ میلادی نیز به کار گرفته شده بود.

کارشناسان امنیتی می‌گویند هکرها حتی به سراغ سرورهای بانک‌اطلاعاتی نیز رفته‌اند تا نه تنها از این سرورها به منظور استخراج ارز دیجیتال استفاده کنند، بلکه داده‌های حساس درون این سرورها را جمع‌آوری کرده و در نهایت از این سرورها بات‌نت قدرتمندی به وجود آورند تا برای حمله منع سرویس انکار شده از آن‌ها استفاده کنند.

هکرها برای دسترسی به سرورهای بانک‌اطلاعاتی از حملات جست‌وجوی فراگیر و در ادامه اجرای دستورات SQL به منظور دسترسی مستمر و ممانعت از شناسایی شدن از طریق فایل‌های گزارش استفاده کرده‌اند. در این کمپین نیز هکرها از سه بردار حمله Hex، Hanako و Taylor، برای حمله به سرورهای Microsoft SQL و MySQL استفاده کرده‌اند؛

حمله Hex به منظور استخراج ارز دیجیتال و تزریق تروجان‌های دسترسی از راه دور به سامانه‌های آلوده، حمله Taylor به منظور نصب یک روباینده کلیدها (key-logger) و نصب یک درب پشتی و از حمله Hanako به منظور بهره‌برداری از دستگاه‌های آلوده برای ساخت یک بات‌نت استفاده کرده‌اند.

اگر به دنبال سرمایه گذاری در ارزهای دیجیتالی هستید می توانید برای خرید و فروش این ارزهای به سایت ارزجو مراجعه کنید.