الصفحات
بحث
تحذير أمني: حملة تستهدف خوادم NGINX لسرقة حركة المرور
الأمن السيبراني #أمن_المعلومات #NGINX

تحذير أمني: حملة تستهدف خوادم NGINX لسرقة حركة المرور

منذ ساعة 2 مشاهدة 0 تعليق 2 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
2 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

كشف باحثون في DataDog Security Labs عن حملة خبيثة نشطة تستهدف خوادم NGINX ولوحات إدارة الاستضافة Baota، حيث يقوم القراصنة بتعديل ملفات الإعدادات لتحويل مسار الزوار وسرقة حركة المرور دون إثارة الشكوك.

آلية الاختراق عبر ملفات الإعدادات

يستغل المهاجمون طبيعة عمل خادم الويب NGINX، وهو برنامج مفتوح المصدر يُستخدم لإدارة حركة المرور وموازنة الأحمال (Load Balancing). بدلاً من استغلال ثغرة برمجية، يقوم القراصنة بتعديل ملفات تكوين NGINX الحالية عن طريق حقن كتل 'location' خبيثة.

تعمل هذه التعديلات على التقاط الطلبات الواردة على مسارات URL محددة يختارها المهاجم، ثم إعادة كتابتها لتشمل الرابط الأصلي بالكامل، وتوجيه حركة المرور عبر توجيه 'proxy_pass' إلى نطاقات يسيطر عليها القراصنة.

استهداف لوحات Baota والنطاقات الحكومية

وفقاً للتقرير، تركز الحملة بشكل كبير على خوادم NGINX التي تستخدم لوحات إدارة Baota. وقد رصد الباحثون استهدافاً مكثفاً للمواقع التي تستخدم نطاقات المستوى الأعلى الآسيوية مثل (.in و .id و .pe و .bd و .th)، بالإضافة إلى المواقع الحكومية والتعليمية (.gov و .edu).

5 مراحل للهجوم الخبيث

يستخدم المهاجمون مجموعة أدوات نصية (Scripted Toolkit) تعمل على خمس مراحل لتنفيذ الحقن في الإعدادات:

  • المرحلة 1 (zx.sh): يعمل كبرنامج نصي للتحكم الأولي، مسؤول عن تنزيل وتنفيذ المراحل المتبقية.
  • المرحلة 2 (bt.sh): يستهدف ملفات تكوين NGINX التي تديرها لوحة Baota، ويقوم باختيار قوالب الحقن ديناميكياً بناءً على اسم الخادم.
  • المرحلة 3 (4zdh.sh): يقوم بحصر مواقع تكوين NGINX الشائعة، ويستخدم أدوات مثل csplit لمنع تلف التكوين، مع التحقق من صحة التغييرات قبل إعادة التحميل.
  • المرحلة 4 (zdh.sh): يركز بشكل أضيق على مسار /etc/nginx/sites-enabled، خاصة للنطاقات .in و .id.
  • المرحلة 5 (ok.sh): يقوم بمسح تكوينات NGINX المخترقة لبناء خريطة للنطاقات المخطوفة وإرسال البيانات إلى خادم القيادة والتحكم (C2).

صعوبة الكشف والتمويه

تكمن خطورة هذا الهجوم في صعوبة اكتشافه، حيث أن توجيه 'proxy_pass' المُستغل يُستخدم عادةً بشكل شرعي لموازنة الأحمال، وبالتالي لا يطلق إنذارات أمنية. علاوة على ذلك، يحافظ المهاجمون على ترويسات الطلبات (Headers) مثل 'Host' و 'X-Real-IP' لجعل حركة المرور تبدو طبيعية، وتصل البيانات في النهاية إلى وجهتها الأصلية بعد مرورها عبر خوادم المهاجمين.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_المعلومات ##NGINX ##سيبراني ##خوادم

الأسئلة الشائعة

يتم الاختراق عبر حقن كتل 'location' خبيثة في ملفات الإعدادات، مما يسمح بإعادة توجيه حركة المرور عبر 'proxy_pass' إلى خوادم المهاجمين.

يستهدف الهجوم خوادم NGINX، وبشكل خاص تلك التي تستخدم لوحات إدارة Baota، والمواقع ذات النطاقات الآسيوية والحكومية والتعليمية.

لأنه لا يستغل ثغرة برمجية بل يسيء استخدام أوامر شرعية مثل 'proxy_pass'، كما يتم الحفاظ على ترويسات الطلبات لتبدو حركة المرور طبيعية.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!