اكتشف باحثو الأمن حملة برمجيات خبيثة متطورة تستهدف أنظمة لينكس، تجمع بين قدرات شبكةبوت نت DDoS مشتقة من Mirai وعمليات تعدين للعملات المشفرة خفية وعديمة الملفات. يمثل هذا التطور تهديدًا كبيرًا لأجهزة إنترنت الأشياء (IoT) والبيئات السحابية.
البرمجية الخبيثة، التي أطلق عليها اسم V3G4 من قبل مختبرات Cyble Research Intelligence، تستخدم سلسلة إصابة متعددة المراحل تهدف إلى اختراق خوادم لينكس وأجهزة إنترنت الأشياء عبر معماريات مختلفة، مع الحفاظ على وصول مستمر لكل من هجمات الحرمان من الخدمة (DDoS) وعمليات تعدين العملات المشفرة.
هذا النهج الهجين يتيح للمهاجمين تحقيق أقصى قدر من العائد المالي من خلال استغلال الأجهزة المخترقة لأغراض مزدوجة في وقت واحد، مما يخلق مصدر دخل مرنًا يتطور باستمرار بفضل التقنيات الجديدة، ونواقل الهجوم، وطرق التخفي.
تبدأ الهجمات ببرنامج نصي بسيط يسمى Universal Bot Downloader، والذي يحدد تلقائيًا معمارية وحدة المعالجة المركزية للنظام الضحية باستخدام الأمر uname -m. بناءً على المعمارية المكتشفة – والتي تدعم متغيرات x86_64، ARM64، ARM7، ARM5، MIPS، و MIPSEL – ينشئ البرنامج النصي عنوان URL تنزيل مخصصًا ويجلب البرنامج الثنائي المناسب للشبكة من خادم يتحكم فيه المهاجم على العنوان 103.149.93.224.
يتم كتابة الحمولة إلى الدليل /tmp، ومنحها صلاحيات تنفيذ عبر chmod، وتشغيلها فورًا، متبعةً أنماط النشر الكلاسيكية لشبكات بوت نت إنترنت الأشياء التي تعطي الأولوية للسرعة والتوافق الواسع عبر بيئات لينكس المتنوعة.
بمجرد التنفيذ، يجمع البرنامج الثنائي، الذي تم تعبئته بـ UPX وإزالته، معلومات النظام من خلال استطلاع البيئة، وفحص تفاصيل النواة وحدود العمليات لتحديد معلمات التشغيل.
لاحظ محللو الأمن في Cyble أن البرنامج الخبيث يطبع شعار توقيع “xXxSlicexXxxVEGA” إلى الإخراج القياسي، مما يتطابق مع الأنماط السلوكية لسلالات V3G4-Mirai التي تم توثيقها سابقًا في الإصابات السحابية.
ثم يدخل البوت في وضع التخفي عن طريق محاولة التنكر باسم عملية systemd-logind الشرعية من خلال استدعاءات نظام prctl، وإغلاق تدفقات الإدخال/الإخراج القياسية، والانفصال عن الجهاز المتحكم باستخدام setsid للقضاء على تتبع العمليات المرئية وتجنب الشبهات تمامًا.
آلية العدوى وهيكلية التخفي
تنشر الحمولة من المرحلة الثالثة عامل تعدين خفي قائم على XMRig لعملة Monero، مما يجسد تركيز الحملة على التهرب من الكشف.
بدلاً من تضمين ملفات التكوين الثابتة، يجلب البرنامج الخبيث معلمات التعدين ديناميكيًا من خادم القيادة والتحكم (C2) وقت التشغيل.
يقوم المثبت بإخفاء عامل التعدين باسم /tmp/.dbus-daemon ليمتزج مع العمليات المشروعة ويطلب بيانات التكوين عبر TCP، ويتلقى كتلة JSON تحتوي على عناوين المحافظ، وعناوين الأقراص/المجمعات، وإعدادات الخوارزمية دون إنشاء أي أثر على القرص.
يسمح هذا النهج عديم الملفات للمشغلين بتدوير معلمات التعدين في الوقت الفعلي بينما يعيق التحليل الجنائي.
إن الجمع بين العمليات المتنكرة، ومسح مآخذ التوصيل الخام، وتقديم التكوينات الديناميكية يوضح كيف تزيد شبكات البوت نت الحديثة من التخفي وتحقيق الدخل عبر بيئات لينكس المخترقة.