الصفحات
بحث
تحذير أمني: بوت نت SSHStalker يهدد خوادم لينكس (2025)
الأمن السيبراني #أمن_سيبراني #لينكس

تحذير أمني: بوت نت SSHStalker يهدد خوادم لينكس (2025)

منذ ساعة 2 مشاهدة 0 تعليق 2 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
2 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

كشفت شركة Flare المتخصصة في استخبارات التهديدات عن ظهور شبكة بوت نت (Botnet) جديدة تستهدف خوادم لينكس، وتعتمد أسلوباً كلاسيكياً غير متوقع في عمليات القيادة والتحكم. البرمجية التي أُطلق عليها اسم SSHStalker تتخلى عن التقنيات الحديثة المعقدة لصالح بروتوكول الدردشة القديم IRC، مفضلة الموثوقية والانتشار الواسع على التخفي.

العودة إلى الكلاسيكيات: لماذا IRC؟

على الرغم من أن بروتوكول IRC يعود لعام 1988، إلا أن مطوري SSHStalker وجدوا فيه ميزة استراتيجية. بدلاً من أطر العمل الحديثة للتحكم (C2)، تعتمد هذه البرمجية على بساطة IRC لضمان استمرار الاتصال وتقليل التكلفة، حتى لو كان ذلك يعني سهولة اكتشافها.

ووفقاً للباحثين، فإن هذه الشبكة عبارة عن مجموعة أدوات "صاخبة" تجمع بين التحكم القديم، وتجميع الملفات الثنائية مباشرة على الأجهزة المخترقة، وهجمات SSH الشاملة.

آلية الهجوم والانتشار

تبدأ عملية الاختراق عبر مسح تلقائي للشبكات وهجمات "القوة الغاشمة" (Brute Force) على بروتوكول SSH، باستخدام أداة مكتوبة بلغة Go تتنكر في هيئة أداة فحص الشبكات الشهيرة nmap.

بمجرد نجاح الاختراق، تقوم البرمجية بتحميل أدوات المجمّع البرمجي (GCC) لإنشاء الحمولات الخبيثة مباشرة على جهاز الضحية، مما يسهل نقلها وتشغيلها على مختلف الأنظمة.

استغلال ثغرات عمرها 15 عاماً

المثير للاهتمام أن SSHStalker لا تعتمد على ثغرات يوم الصفر الحديثة، بل تحمل في جعبتها أدوات لاستغلال 16 ثغرة أمنية (CVEs) تعود لعامي 2009 و2010 في نواة لينكس. تُستخدم هذه الثغرات لرفع صلاحيات المخترق بعد الدخول الأولي بحساب محدود الصلاحيات.

وقد رصد الباحثون ملفاً يحتوي على نتائج ما يقرب من 7000 عملية مسح، ركزت بشكل أساسي على مقدمي الخدمات السحابية، وتحديداً البنية التحتية لشركة Oracle Cloud.

أهداف الهجوم وطرق الحماية

تسعى هذه البرمجية لتحقيق مكاسب مالية عبر عدة طرق:

  • تعدين العملات الرقمية باستخدام أدوات مثل PhoenixMiner.
  • سرقة مفاتيح AWS وبيانات الاعتماد.
  • إمكانية شن هجمات حجب الخدمة (DDoS)، رغم عدم رصد هجمات فعلية حتى الآن.

وللحماية من هذا التهديد، يوصي الخبراء بتطبيقات إجراءات صارمة تشمل تعطيل المصادقة عبر كلمة المرور في SSH، إزالة المجمّعات البرمجية (Compilers) من الخوادم الإنتاجية، ومراقبة الاتصالات الخارجية المشبوهة التي تستخدم بروتوكول IRC.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##لينكس ##SSHStalker ##حماية_الخوادم

الأسئلة الشائعة

هو برمجية خبيثة تستهدف خوادم لينكس وتستخدم بروتوكول IRC القديم للتحكم والقيادة، مع التركيز على الموثوقية بدلاً من التخفي.

يتم ذلك عبر هجمات التخمين (Brute Force) على بروتوكول SSH، ثم يقوم بتجميع الملفات الخبيثة مباشرة على الجهاز الضحية.

يهدف بشكل رئيسي لتعدين العملات الرقمية، سرقة مفاتيح الخدمات السحابية مثل AWS، وإمكانية شن هجمات DDoS.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!