برمجية لوسيفر الخبيثة تستخدم لشنّ هجمات الحرمان من الخدمة وعمليات التعدين الخفي
كتب : شيماء حسن
اكتشف الباحثون في شركة بالو ألتو نتوركس شكلاً جديداً من البرمجيات الخبيثة الهجينة التي تقوم باستغلال الأجهزة المضيفة لتعدين العملات الرقمية المشفرة بشكل خفي وذلك بعد تسجيل العديد من حوادث استغلال الثغرات الأمنية.
وبعد إلقاء نظرة فاحصة على هذه الحوادث اكتشف الباحثون في بالو ألتو نتوركس أن البرمجية الخبيثة الجديدة، والتي أطلقوا عليها اسم لوسيفر Lucifer، قادرة على تنفيذ هجمات الحرمان من الخدمة الموزعة DDoS، فضلاً عن كونها مجهزة بشكل جيد لتنفيذ كافة عمليات استغلال الثغرات الأمنية في الأجهزة المضيفة العاملة بنظام ويندوز. وقد توقفت الموجة الأولى من هجمات هذه البرمجية في 10 يونيو 2020، لكن ما لبث المهاجمون أن استأنفوا حملتهم في 11 يونيو 2020، وقاموا بنشر نسخة مطورة من البرمجية الخبيثة وألحقوا أضرار أكبر بالجهات المستهدفة. وقد تم تجميع عينة من هذه الهجمات، حيث تم التقاطها بواسطة الجيل التالي من جدار حماية بالو ألتو نتوركس. ولاتزال هذه الحملة من الهجمات الخبيثة جارية حتى وقت كتابة هذا التقرير.
تتمتع البرمجية لوسيفر بقدرات واسعة تجعلها من أقوى البرمجيات الخبيثة. فهي ليست قادرة على تثبيت برنامج تعدين العملات الرقمية XMRig لتعدين عملة مونيرو Monero فحسب، بل يمكنها أيضاً تشغيل الأوامر والتحكم في عمليات C2 والقيام بالنشر الذاتي من خلال استغلال نقاط الضعف ومحاولة الولوج باستخدام بيانات دخول عشوائية. كما تقوم برمجية لوسيفر بإسقاط واستغلال ثغرات أمنية خلفية باستخدام أدوات مثل EternalBlue و EternalRomance و DoublePulsar بعد توجيهها ضد أهداف قابلة للاختراق بهدف الوصول للشبكة الداخلية.
واستهدفت برمجية لوسيفر ثغرات أمنية تم تصنيفها على أنها "عالية الخطورة" أو "حرجة" وذلك بسبب طبيعتها التي تجعلها معرضة للاستغلال بسرعة، وتأثيرها الهائل على الضحية. فبمجرد استغلال المهاجم لهذه الثغرات، يصبح بإمكانه تنفيذ كافة الأوامر العشوائية التي يرغب بتطبيقها على جهاز الضحية المخترق. وتكون الأهداف في معظم حالات الاختراق هي أجهزة عاملة بنظام التشغيل ويندوز الموصولة على شبكة الإنترنت العامة أو حتى الشبكات الداخلية، نظراً لقدرة المهاجم على الاستفادة من أدوات تنفيذ الأوامر مثل أداة certutil ضمن حمولة البرمجيات الخبيثة مما يؤدي إلى نشرها بشكل أوسع ضمن جهاز الضحية. لكن لحسن الحظ، تتوفر أدوات تصحيح مثل هذه الثغرات الأمنية بسهولة.
وعلى الرغم من أن الثغرات الأمنية التي تم استغلالها من قبل هذه البرمجية الخبيثة وأساليب الهجوم التي اتبعتها تعتبر شيئاً جديداً، إلا أنها ترسل رسالة واضحة مرة أخرى إلى كافة المؤسسات لتذكيرها بضرورة تحديث أنظمة الحماية باستمرار كلما أمكن ذلك، والتخلص من بيانات الاعتماد الضعيفة، وضمان الحصول على مستويات الدفاع التي تؤمن الحماية المناسبة.
حتى كتابة هذه السطور تم دفع 0.493527 مونيرو، والتي تساوي $32 دولار أمريكي تقريباً.
يمكن لجدار حماية بالو ألتو نتووركس من الجيل التالي اكتشاف ومنع جميع محاولات الاستغلال التي تتم عن طريق هذه العائلة من البرمجيات الخبيثة.