قيمراوي
موقع كل القيمراوية.

تؤثر سلالة جديدة من البرامج الضارة يطلق عليها “Lucifer” على معظم أجهزة الكمبيوتر التي تعمل بنظام Windows ، وتسيء استخدام الثغرات الأمنية الحرجة

هناك نوع جديد من التشفير القوي والبرمجيات الخبيثة المستندة إلى DDoS يستغل نقاط الضعف الشديدة في أجهزة Windows ويؤثر عليها في هذه العملية. وقالت الوحدة 42 بالو ألتو نتوركسز في منشور المدونة الأخير أن هذه البرمجيات الخبيثة الجديدة التي يطلق عليها “لوسيفر” هي جزء من حملة نشطة ضد مضيفي نظام Windows وتستخدم مجموعة متنوعة من “المآثر” في أحدث موجة من الهجمات.

هذا هو نوع جديد من الروبوتات التي تستغل ما لا يقل عن اثني عشر نقطة ضعف عالية وشديدة الخطورة في أنظمة Windows لتحويلها إلى عملاء “تشفير”. تم تسمية هذه الروبوتات باسم “Satan DDoS” على الرغم من أن الباحثين الأمنيين قد أخذوا يشيرون إليها باسم “Lucifer” من أجل تجنب الخلط مع برنامج الفدية الشيطاني الشهير.

تستهدف البرامج الضارة بشكل أساسي خوادم المؤسسات ، خاصة وأن هذه الخوادم يمكنها توفير دخول سهل إلى العديد من شبكات الشركات ، ولكن يمكنها أيضًا إصابة أجهزة الكمبيوتر الشخصية / أجهزة الكمبيوتر الشخصية المنزلية. ظهرت الوحدة 42 عبر البرامج الضارة بعد التحقيق في استغلال CVE-2019-9081 ، وهو نوع من الثغرات في Laravel Framework لتطوير تطبيقات الويب مفتوحة المصدر التي تمكن الجناة من تنفيذ هجمات تنفيذ التعليمات البرمجية عن بُعد. في البداية كان يعتقد أن البرامج الضارة لوسيفر تستخدم لتعدين العملة المشفرة مونيرو. ومع ذلك ، بعد مزيد من التحقيق ، تبين أن البرامج الضارة تحتوي أيضًا على مكون DDoS أيضًا ، وتستخدم نقاط ضعف شديدة وإجبارًا شديدًا لصالحها.

كتب الباحثون في الوحدة 42 في منشور على مدونة “نظرة عن قرب كشفت أن البرامج الضارة ، التي أطلقنا عليها اسم” لوسيفر “، قادرة على تنفيذ هجمات DDoS و [مجهزة] بشكل جيد بجميع أنواع عمليات الاستغلال ضد مضيفات Windows الضعيفة”. . (يطلق منشئو Lucifer الخاصون على البرامج الضارة Satan DDoS ، ولكن الوحدة 42 اعتقدت أن ذلك قد يسبب الارتباك حيث يوجد بالفعل برامج فدية “Satan”).

“توقفت الموجة الأولى من الحملة في 10 يونيو 2020. ثم استأنف المهاجم حملته في 11 يونيو 2020 ، ونشر نسخة مطورة من البرامج الضارة وألحق الدمار.”

تؤثر سلالة جديدة من البرامج الضارة يطلق عليها "Lucifer" على معظم أجهزة الكمبيوتر التي تعمل بنظام Windows ، وتسيء استخدام الثغرات الأمنية الحرجة

في تدوينة مدونة ، قال الباحثون كين هسو ودورغيش سانجفيكار وزيبين زانج وكريس نافاريتي إن أحدث إصدار v.2 من لوسيفر تم اكتشافه في 29 مايو أثناء التحقيق في استغلال CVE-2019-9081 ، وهو خلل في إزالة التسلسل في “Laravel إطار عمل “يمكن إساءة استخدامه لتنفيذ هجمات تنفيذ التعليمات البرمجية عن بُعد (RCE). بعد مزيد من الفحص ، يبدو أن هذه ثغرة واحدة فقط للعديد من الثغرات التي يمكن أن تستخدمها البرامج الضارة ، إلى جانب CVE-2014-6287 و CVE-2018-1000861 و CVE-2017-10271 و ThinkPHP RCE (CVE-2018-20062) ، CVE-2018-7600 و CVE-2017-9791 و CVE-2019-9081 و CVE-2017-0144 و CVE-2017-0145 و CVE-2017-8464 ، من بين أمور أخرى ، اعتمادًا على الإصدار.

يبدو أن هذا يمثل تهديدًا قويًا للغاية للبرامج الضارة ، ووصف الباحثون لوسيفر بأنه “قوي جدًا في قدراته”. بمجرد إصابة أي نظام ، فإنه يسمح للجناة بتعدين عملة Monero المشفرة لنشرها على أجهزة أخرى على الشبكة المحلية باستخدام مآثر EternalBlue و EternalRomance و DoublePulsar التي تمت سرقتها من وكالة الأمن القومي الأمريكية قبل بضع سنوات.

وتتمتع هذه الثغرات بمعدلات عالية أو “حرجة” بسبب طبيعتها التافهة للاستغلال وتأثيرها الهائل على الضحية. بمجرد استغلال ، يمكن للمهاجم تنفيذ أوامر تعسفية على الجهاز المعرض للخطر. في هذه الحالة ، تكون الأهداف هي مضيفو Windows على كلٍ من الإنترنت والإنترانت ، نظرًا لأن المهاجم يستفيد من أداة “certutil” في الحمولة لانتشار البرامج الضارة. لحسن الحظ ، فإن تصحيحات نقاط الضعف هذه متاحة بسهولة.

يعد Lucifer مزيجًا جديدًا من كلٍ من متغيرات التشفير والبرمجيات الخبيثة DDoS التي تستغل نقاط الضعف القديمة لنشر وتنفيذ الأنشطة الضارة على أنظمة Windows الأساسية. يُنصح بشدة بتطبيق التحديثات والتصحيحات على البرامج المتأثرة. تتضمن البرامج الضعيفة Rejetto HTTP File Server و Jenkins و Oracle Weblogic و Drupal و Apache Struts و Laravel framework و Microsoft Windows. يتم تشجيع كلمات المرور القوية أيضًا على منع أي نوع من هجمات القاموس.

لذا فإن أفضل ما يمكنك فعله هو التأكد من أن Windows يحتوي على آخر تحديثات الأمان. والثاني هو استخدام كلمة مرور قوية لحساب Windows الخاص بك. يحاول لوسيفر اختراق الأنظمة ، وقذفها بأسماء المستخدمين وكلمات المرور الشائعة مثل “المسؤول” و 123123 ″ ، وما إلى ذلك. وفقًا للباحثين ، يقوم المتسللون “بتسليح” مجموعة من الثغرات الأمنية باستخدام البرامج الضارة Lucifer. للحماية ضد لوسيفر ، يجب على الشركات والأفراد الحفاظ على تحديث برامجهم بأحدث التصحيحات واستخدام كلمات مرور قوية.

ستقوم البرامج الضارة بالبحث عن منافذ TCP المفتوحة 135 (RPC) و 1433 (MSSQL) للعثور على الأهداف وستستخدم هجمات حشو بيانات الاعتماد من أجل الوصول. يقول الباحثون إن البرامج الضارة قد تصيب الأهداف من خلال IPC و WMI و SMB و FTP عبر هجمات القوة الغاشمة ، وكذلك من خلال MSSQL و RPC ومشاركة الشبكة. بمجرد إنشائها على جهاز مصاب ، تسقط البرمجيات الخبيثة XMRig ، وهو برنامج يستخدم للتنقيب سرا للعملات المشفرة Monero (XMR).

سيتصل Lucifer أيضًا بخادم الأوامر والتحكم (C2) لتلقي الأوامر ، مثل إطلاق هجوم DDoS ، ونقل بيانات النظام المسروقة ، وإبقاء المشغلين على اطلاع على حالة منجم Monero cryptocurrency. سيحاول لوسيفر أيضًا التهرب من الكشف أو الهندسة العكسية من خلال التحقق من وجود صناديق رمل أو آلات افتراضية. إذا تم العثور على أي شيء ، يدخل البرنامج الضار “حلقة لا نهائية” توقف العمليات.

من المحتمل أن تكون مؤسسات المؤسسة هي الأكثر عرضة للخطر ، ويرجع ذلك جزئيًا إلى أنها لا تظل دائمًا على اطلاع دائم على تصحيحات الأمان. ومع ذلك ، يستغل لوسيفر مجموعة من نقاط الضعف التي تؤثر أيضًا على أجهزة الكمبيوتر المنزلية.

“في حين أن تكتيكات إساءة الاستخدام والهجوم التي يتم استغلالها بواسطة هذه البرامج الضارة ليست شيئًا أصليًا ، إلا أنها ترسل رسالة مرة أخرى إلى جميع المؤسسات ، لتذكيرهم بأهمية تحديث الأنظمة باستمرار كلما أمكن ذلك ، والقضاء على بيانات الاعتماد الضعيفة ، والحصول على وقال الباحثون “طبقة من الدفاعات لضمان”.