أخبار تقنية

هجوم على خوادم السيلينيوم: سرقة بروكسي وتعدين عملات مشفرة

Selenium Grid هو خادم يسهل تشغيل حالات الاختبار بالتوازي عبر متصفحات وإصدارات مختلفة،" الباحثون في Cado Security، تارا جولد ونيت بيل قال في تحليل نشر اليوم.

Selenium Grid هو خادم يسهل تشغيل حالات الاختبار بالتوازي عبر متصفحات وإصدارات مختلفة،” الباحثون في Cado Security، تارا جولد ونيت بيل قال في تحليل نشر اليوم.

….يتم استهداف مثيلات شبكة السيلينيوم المكشوفة على الإنترنت من قبل الجهات الفاعلة السيئة من أجل حملات تعدين العملات المشفرة غير المشروعة وحملات سرقة البروكسي.

“Selenium Grid هو خادم يسهل تشغيل حالات الاختبار بالتوازي عبر متصفحات وإصدارات مختلفة،” الباحثون في Cado Security، تارا جولد ونيت بيل قال في تحليل نشر اليوم.

“ومع ذلك، فإن التكوين الافتراضي لـ Selenium Grid يفتقر إلى المصادقة، مما يجعله عرضة للاستغلال من قبل جهات التهديد.”

الأمن السيبراني

تم تسليط الضوء سابقًا على إساءة استخدام مثيلات شبكة السيلينيوم المتاحة للجمهور لنشر عمال تعدين العملات المشفرة من قبل شركة الأمن السحابي Wiz في أواخر يوليو 2024 كجزء من مجموعة أنشطة يطلق عليها اسم SeleniumGreed.

وقالت Cado، التي لاحظت حملتين مختلفتين ضد خادم honeypot الخاص بها، إن الجهات الفاعلة في مجال التهديد تستغل الافتقار إلى وسائل حماية المصادقة لتنفيذ مجموعة متنوعة من الإجراءات الضارة.

الأول منهم يستغل “جوجل:chromeOptions“قاموس لإدخال برنامج Python النصي المشفر بـ Base64 والذي بدوره يسترد البرنامج النصي المسمى “y،” ​​وهو المصدر المفتوح جيسوكيت قذيفة عكسية.

تعدين العملات المشفرة وسرقة البروكسي

يعمل الغلاف العكسي لاحقًا كوسيط لتقديم حمولة المرحلة التالية، وهو برنامج نصي bash يُسمى “pl” يسترد IPRoyal Pawn وEarnFM من خادم بعيد عبر أوامر curl وwget.

وقال كادو: “IPRoyal Pawns هي خدمة بروكسي سكنية تسمح للمستخدمين ببيع النطاق الترددي للإنترنت الخاص بهم مقابل المال”.

“تتم مشاركة اتصال الإنترنت الخاص بالمستخدم مع شبكة IPRoyal مع الخدمة باستخدام النطاق الترددي كوكيل سكني، مما يجعله متاحًا لأغراض مختلفة، بما في ذلك الأغراض الضارة.”

يعد EarnFM أيضًا أحد حلول البرامج الوكيلة التي يتم الإعلان عنها على أنها طريقة “مبتكرة” “لتوليد دخل سلبي عبر الإنترنت بمجرد مشاركة اتصالك بالإنترنت.”

الأمن السيبراني

يتبع الهجوم الثاني، مثل حملة proxyjacking، نفس المسار لتسليم نص bash عبر نص Python الذي يتحقق مما إذا كان يعمل على جهاز 64 بت ثم يشرع في إسقاط ثنائي ELF المستند إلى Golang.

يحاول ملف ELF لاحقًا التصعيد إلى الجذر من خلال الاستفادة من ثغرة PwnKit (CVE-2021-4043) وإسقاط عامل تعدين العملة المشفرة XMRig المسمى perfcc.

وقال الباحثون: “نظرًا لأن العديد من المؤسسات تعتمد على Selenium Grid لاختبار متصفح الويب، فإن هذه الحملة تسلط الضوء أيضًا على كيفية إساءة استخدام المثيلات التي تم تكوينها بشكل خاطئ من قبل جهات التهديد”. “يجب على المستخدمين التأكد من تكوين المصادقة، حيث أنها غير ممكّنة افتراضيًا.”

إدارة ميكسي نيوز

ميكسي نيوز منصة إخبارية عربية تقدم تغطية شاملة لأهم الأحداث حول العالم، مع التركيز على الاخبار التقنية، والرياضية، والفنية، بتحديث مستمر ومصداقية عالية

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى