الشبح في الآلة: الملف الكامل عن TA-NATALSTATUS وحرب العشب في مجال التعدين الخفي

يبدأ الأمر كما تفعل معظم تنبيهات التعدين الخفي: منفذ Redis مكشوف، عملية مشبوهة، ربما ارتفاع في استخدام وحدة المعالجة المركزية. من السهل تجاهلها. سهل المسح. حتى لا يحدث ذلك. لأن بعض عمال المناجم ليسوا مجرد عمليات سحق وانتزاع - إنها مهن هادئة.

حالة ما قبل الولادة هو واحد منهم. على مدى السنوات الخمس الماضية، قام هذا الفاعل في مجال التهديد ببناء بنية تحتية مترامية الأطراف ومرنة من خلال استغلال نفس التكوينات الخاطئة المنسية التي يفعلها الجميع - ولكن مع مزيد من الانضباط والرؤية طويلة المدى. إن برامجهم الضارة لا تقوم فقط بالتعدين - بل يخفي، يستمر، ينتشر، ويقوي. والفرصة؟ إنه ضخم. عبر عدد قليل من البلدان:

• أكثر من 17% من خوادم Redis في الولايات المتحدة تبقى مكشوفة
• 33% في ألمانيا
• 27% في ال المملكة المتحدة
• 23% في فرنسا
• 41% في فنلندا
• و 39% في روسيا

عشرات الآلاف من الخوادم في جميع أنحاء العالم معرضة للخطر - وتستهدفها TA-NATALSTATUS بنشاط جميعًا. من خلال المقايضات الثنائية بأسلوب rootkit، وإخفاء العمليات، وتشويش الأوامر، وأقفال الملفات غير القابلة للتغيير، و «قوائم القتل» المناهضة للمنافسين، حولت هذه المجموعة ناقل هجوم السلع إلى حملة استحواذ قوية على البنية التحتية. هذا هو الملف الكامل عن TA-NATALSTATUS: كيف تعمل، وكيف تطورت، وكيفية البحث عنها وتأكيدها والقضاء عليها - قبل أن يصبح خادمك مجرد أصل آخر في إمبراطوريتها المتنامية.

أرض الصيد: ملعب للخوادم المكشوفة

لا تحتاج TA-NATALSTATUS إلى عمليات استغلال متطورة في يوم الصفر عندما تكون أرض الصيد العالمية الخاصة بها غنية بالأهداف. السبب الجذري لنجاحها هو الفشل المنهجي والعالمي في تأمين مثيلات Redis بشكل صحيح. توضح البيانات أدناه الحجم الهائل للفرصة المتاحة لهم.

‍

‍

تكشف هذه البيانات حقيقة مهمة: لا تقتصر النسب العالية من الخوادم المكشوفة على منطقة واحدة ولكنها مشكلة عالمية، مدفوعة بالتكوينات الخاطئة للمطورين والإعدادات الافتراضية غير الآمنة. هذا المشهد الذي يضم عشرات الآلاف من الخوادم الضعيفة هو بالضبط ما يسمح للحملة الآلية والفعالة مثل حملة TA-NATALSTATUS بالازدهار.

تطور الخصم: من 2020 إلى اليوم

بدأ تحقيقنا عند قيام CloudSek كن فيجيل تم اكتشاف مثيل Redis مفتوح داخل إحدى البنية التحتية لعملائنا. تم اختراق هذه الحالة المكشوفة من قبل عامل تشفير، مما أدى إلى إجراء تحقيق أعمق. في حين أن هذا الحادث كان بمثابة نقطة البداية، فقد ساعدتنا المعلومات مفتوحة المصدر في الكشف عن سياق أوسع. يبدو أن التكتيكات والتقنيات والإجراءات (TTPs) التي يستخدمها الفاعل في التهديد - والتي تم تحديدها الآن باسم TA-natalStatus - هي تطور مباشر لدودة متعددة المنصات أبلغت عنها Trend Micro في الأصل في عام 2020.

‍

ما الذي لم يتغير (الدليل الأساسي):

• الوصول الأولي: إساءة استخدام خوادم Redis المكشوفة علنًا وغير المصادق عليها.
• طريقة التنفيذ: استخدام أوامر Redis CONFIG SET و SAVE لكتابة مهام cron الضارة.
• الهيكل: سلسلة عدوى معيارية متعددة النصوص (init/ndt.sh، is.sh، rs.sh).

‍

ما الذي تغير (ترقيات 2025):

هذا ما يجعلها خطيرة اليوم. لقد تعلموا من سنوات من اكتشاف البرامج الضارة الخاصة بهم وقاموا بترقية التخفي بشكل منهجي.

• عملية الاختطاف: يستخدمون الآن تقنية تشبه rootkit لإخفاء عملياتهم. من خلال إعادة تسمية ثنائيات النظام مثل ps و top إلى ps.original واستبدالها بأغلفة ضارة، يقومون بتصفية البرامج الضارة الخاصة بهم (httpgd) من المخرجات. لن يراه المشرف الذي يبحث عن عامل المنجم باستخدام الأدوات القياسية.
• تشويش الأوامر: يعيدون تسمية curl و wget إلى cd1 و wd1. هذه طريقة بسيطة ولكنها رائعة لتجاوز منتجات الأمان التي تراقب التنزيلات الضارة التي بدأت خصيصًا بواسطة أسماء الأدوات الشائعة هذه.
• الدوس الزمني: كما لوحظ، يستخدم الممثل أوامر اللمس أو طرق أخرى لتغيير الطوابع الزمنية لملفاته، مما يجعلها تبدو وكأنها ملفات نظام قديمة لخداع التحليل الجنائي.

‍

دورة حياة الهجوم الكاملة: تشريح الفتح

تشغيل حالة ما قبل الولادة ليس مخططًا بسيطًا لـ «العدوى والألغام». بدلاً من ذلك، فهي عبارة عن دورة حياة مصممة بدقة من أربع مراحل مصممة لـ المرونة والتسلل والهيمنة الكاملة أكثر من الأنظمة المخترقة. قبل الغوص في البنية المكونة من أربع مراحل، من الضروري استكشاف ناقل الوصول الأولي- طريقة بسيطة بشكل مخادع لكنها فعالة للغاية تستفيد عمليات التهيئة الخاطئة بدلاً من عمليات الاستغلال.

‍

الوصول الأولي: تقنية «الجذر بالميراث»

لا تقوم البرامج الضارة بتصعيد الامتيازات. ولدت مع إمكانية الوصول إلى الجذر من خلال استغلال خادم Redis الذي تم تشغيله بشكل غير آمن كمستخدم أساسي. يعتمد هذا الهجوم بالكامل على أوامر Redis الشرعية، تستخدم بشكل ضار.

‍

تسلسل الاستغلال

1. ذا سكان
   يستخدم المهاجم أدوات مثل masscan لمسح الإنترنت بحثًا عن خوادم Redis المكشوفة علنًا وغير المصادق عليها على المنفذ 6379.
2. الحمولة
   بمجرد العثور على خادم Redis الضعيف، يرسل المهاجم سلسلة من أوامر التكوين. هذه ليست عمليات استغلال، ولكنها عمليات Redis مشروعة تستخدم لمعالجة الخادم.

‍

الخداع (الخدعة الأساسية)
يقوم المهاجم بالتسلسل التالي:

‍

• CONFIG SET dir /var/spool/cron/: يعيد توجيه دليل قاعدة بيانات Redis إلى مجلد cron الخاص بالنظام.
• جذر اسم ملف CONFIG SET db: يقوم بتعيين اسم ملف قاعدة بيانات Redis إلى الجذر. في نظام لينكس، يصبح هذا /var/spool/cron/root، crontab الخاص بالمستخدم الأساسي.
• SET backup1: يقوم بإدخال مهمة cron ضارة (تعمل كل دقيقتين) تقوم بتنزيل البرامج الضارة وتنفيذها.
• الحفظ: يجبر Redis على كتابة مجموعة البيانات الحالية في الذاكرة (التي تحتوي على مهمة cron) على القرص باسم /var/spool/cron/root.
  
  

3. مشغل التنفيذ
   يقوم برنامج cron الخفي للنظام بقراءة الملف /var/spool/cron/root الجديد وينفذ مهمة cron المدرجة كـ مستخدم الجذر. يؤدي هذا إلى بدء تنزيل البرنامج النصي للبرامج الضارة وتنفيذه (ndt.sh) بامتيازات كاملة.

‍

لماذا يعمل هذا

• Redis، عند تشغيله باسم مستخدم الجذر، لديه إذن للكتابة مباشرة إلى أدلة النظام الهامة.
• هذا يجعل من الممكن للمهاجم القيام بذلك امتيازات «الوراثة» الجذرية بدون أي تقنيات تقليدية لتصعيد الامتيازات.
• إذا كان Redis يعمل كملف مستخدم غير متميز، سيفشل هذا الهجوم في خطوة كتابة الملف، لأن هذا المستخدم لن يكون لديه أذونات للوصول إلى /var/spool/cron/.

‍

مع اكتساب الوصول إلى الجذر في البداية، يمكن للبرامج الضارة متابعة ما تبقى مجانًا أربع مراحل من دورة حياتها - تم تصميم كل منها بعناية للحفاظ على الثبات وإجراء الاستطلاع وإنشاء جهاز تحكم عن بعد وأخيرًا تنفيذ أهدافها الخبيثة (مثل التعدين الخفي أو الحركة الجانبية). يعد فهم طريقة الاختراق الأولية هذه أمرًا أساسيًا لتقدير الفاعل نهج منضبط وعملي وفعال تقنيًا.

‍

المرحلة 1: الزرع - الاستيلاء الصامت (ndt.sh/nnt.sh)

تتجاوز هذه المرحلة الأولية مجرد إطلاق حمولة. إنه تفكيك منهجي لدفاعات المضيف للاحتلال طويل الأمد.

• التخريب المنهجي: قبل إسقاط أي حمولة، ينفذ البرنامج النصي سلسلة من إجراءات «مسؤول النظام العدائية»، بما في ذلك تعطيل SELinux (setenforce 0)، وزيادة حد واصف الملف بشكل كبير (ulimit -n 65535)، وتمزيق جدران حماية المضيف (iptables -F).
• التهرب السلوكي - اختطاف PS: يعيد البرنامج النصي تسمية ملف ps الثنائي الشرعي إلى ps.original ويستبدله بغلاف ضار ينفذ الأمر الأصلي ولكنه يوجه النتيجة من خلال grep -v لتصفية أسماء عامل التعدين الخاص به (httpgd) والماسح الضوئي (pnscan) بشكل صريح. الأداة الأساسية للمشرف لرؤية العملية تكذب عليهم الآن بنشاط.
• تقنية «قفل الباب خلفك»: بعد التسوية، يضيف الممثل قاعدة iptables لحظر الكل مستقبل اتصالات خارجية بمنفذ Redis (6379)، مما يؤدي إلى إغلاق الباب الذي استخدموه للدخول بشكل فعال ومنع المنافسين من استخدام نفس الثغرة الأمنية.
• حرب العشب: يقوم البرنامج النصي بتنفيذ «قائمة القتل» الضخمة الخاصة به (انظر الملحق)، مما ينهي عشرات العمليات المرتبطة بحملات التعدين المشفرة المتنافسة مثل Kinsing و DDG لضمان تخصيص 100٪ من موارد وحدة المعالجة المركزية للمضيف لعمال المناجم الخاص بهم.

‍

‍

المرحلة 2: التحضير - تزوير الأسلحة (is.sh)

لا يكون المضيف الذي تم احتلاله مفيدًا إلا إذا كان من الممكن استخدامه للعثور على ضحايا جدد. البرنامج النصي is.sh عبارة عن «مُعد للحرب» مخصص لتسليح المضيف. في تكتيك المرونة الرئيسي، إذا كانت الأدوات مثل «مسح جماعي» أو «مسح ضوئي» لا يمكن تثبيته عبر مدير الحزم، يقوم البرنامج النصي بتنزيل شفرة المصدر الخاصة به مباشرة من خادم C2 ويقوم بتجميعها من البداية على الجهاز الضحية.

‍

المرحلة 3: الانتشار - إطلاق العنان للحشد (rs.sh)

وبمجرد تسلحه، يتحول المضيف إلى جندي للبوت نت، باستخدام استراتيجية مسح متطورة ومتعددة الجوانب. العنصر الأكثر أهمية هو استخدام «ماسكان - شارد». يتم تخصيص شريحة عشوائية لكل روبوت من مساحة عنوان IPv4 بأكملها لفحصها. يسمح هذا النموذج الموزع للبوت نت ككل بتغطية الإنترنت بسرعة مذهلة دون أن يولد أي روبوت واحد حركة مرور كافية لتشغيل الكتل على مستوى الشبكة.

‍

المرحلة 4: المثابرة - الصرصور غير القابل للقتل (nnt.sh والدردشة)

تضمن المرحلة النهائية سيطرة الممثل بشكل دائم. تستدعي مهمة cron التي تتم كل ساعة برنامج نصي للتحديث (nnt.sh) يعمل بمثابة «مفتاح الرجل الميت»، حيث يعيد تثبيت مجموعة البرامج الضارة بالكامل في حالة إزالة أي جزء منها. لوضع اللمسات الأخيرة على الإغلاق، يستخدم البرنامج النصي «chattr +i» لجعل ملفاته الأساسية ومفتاح SSH backdoor غير قابلين للتغيير. هذا يمنع الملفات من الحذف أو التعديل، حتى من قبل المستخدم الجذر، مما يسبب ارتباكًا كبيرًا للمسؤولين الذين يحاولون التنظيف.

كيفية التحقق مما إذا كنت مصابًا

إذا كنت تشك في وجود عدوى، فلا تعتمد على جهاز ps أو top بمفرده. قم بإجراء عمليات التحقق هذه من سطر الأوامر.

الفحص 1: ابحث عن الثنائيات المخترقة
قم بتشغيل هذا الأمر. إذا رأيت أي الإخراج، من المحتمل أن تتعرض للخطر.

الفحص 2: ابحث عن وظائف Cron الضارة
يخفي الممثل نشاطه من خلال إعادة توجيه الإخراج إلى /dev/null. ابحث في جميع مواقع cron عن هذا النمط.

ابحث عن الوظائف المشبوهة، خاصة تلك التي تنفذ برامج نصية مثل nnt.sh أو ndt.sh.

‍

الفحص 3: التحقق من الملفات غير القابلة للتغيير
يقوم الممثل بإغلاق ملفاته باستخدام chattr +i. run lsattr على مسارات ملفات البرامج الضارة الشائعة. إذا رأيت سمة i، فهذه علامة حمراء كبيرة.

الفحص رقم 4: تحقق من الباب الخلفي لـ SSH
هذا هو الفحص الأكثر أهمية. يحصل الممثل على وصول دائم باستخدام مفتاح SSH. تحقق من ملف authorized_keys الخاص بك للحصول على تعليق رئيسي محدد، uc1.

كيفية إزالة عامل المنجم ومعالجته

إن مجرد حذف ثنائي التعدين لا يكفي. يجب تفكيك آلية الثبات بأكملها.

⚠️ تحذير: الطريقة الآمنة الوحيدة المضمونة بنسبة 100٪ هي عزل المضيف واسترداد أي بيانات ضرورية وإعادة تصويرها من نسخة احتياطية معروفة وموثوقة. إذا لم تتمكن من إعادة الصورة، فاتبع هذه الخطوات على مسؤوليتك الخاصة.

الخطوة 1: عزل المضيف
قم بإزالة الجهاز فورًا من الشبكة عن طريق تعطيل واجهة الشبكة الخاصة به أو تطبيق قواعد جدار الحماية الصارمة.

الخطوة 2: تعطيل آلية الثبات (فتح وحذف وظائف Cron)
افتح ملفات cron المقفلة قبل حذف الإدخالات الضارة.

الخطوة 3: اقتل العمليات الخبيثة
نظرًا لاختطاف ps، استخدم الملف الثنائي الأصلي.

الخطوة 4: إزالة البرامج الضارة والباب الخلفي
افتح الملفات غير القابلة للتغيير قبل حذفها.

الخطوة 5: استعادة ثنائيات النظام
قم باستعادة ملفات ps وإيقافه وتجعيده ثم انتقل إلى حالته الأصلية.

الخطوة 6: معالجة السبب الجذري
أخيرا، قم بتأمين مثيل Redis الخاص بك. قم بتعيين كلمة مرور قوية وقم بتكوينها للاستماع فقط على الواجهة المحلية (bind 127.0.0.1). إذا لم تقم بذلك، فسوف تتعرض للخطر مرة أخرى.

المؤشرات الأولية للتسوية (TA-NATALSTATUS)

بصمات الممثل (معرفات فريدة)
التعليق الرئيسي لـ SSH: uc1
محفظة مونيرو: 84NW3mqddjzrgbpwnatlg8ma1ek1itn42yup4dpk38wgggggggggy7zxsr28j4vpvpfeiq2n4vpfeiq2n4vpfei2nvei2N4Vpfei2N2N4VPvei2N2N4VPvei2N2N2N4VPveiq2N
مسار دليل البرامج الضارة: /EP9ts2/

النطاقات (تم تأكيد أنها ضارة)

natalstatus.org

a.natalstatus.org

avspbx.com

بيات.توب

en2an.top

‍

عناوين IP (البرامج الضارة المؤكدة/تجمعات التعدين)

103.79.77.16

185.19.33.145

194.110.247.97

45.89.52.41

79.137.195.151

80.211.206.105

dev.fugglesoft.me (نطاق المسبح)

‍

تجزئات الملفات

‍

استعلام Fofa لتحديد المزيد من مجمعات التعدين

قائمة القتل - نظرة على العالم السفلي للتعدين الخفي

تطبق TA-NATALSTATUS سياسة «الأرض المحروقة» العدوانية ضد منافسيها. توفر «قائمة القتل» هذه لقطة في الوقت الفعلي للاعبين الرئيسيين الآخرين في النظام البيئي للتعدين الخفي ويمكن استخدامها للبحث عن الإصابات الأخرى.

البنية التحتية للبرامج الضارة المنافسة (عناوين IP المستهدفة للإنهاء)

45.76.122.92

176.31.6.16

83.220.169.247

51.38.191.178

46.243.253.15

51.38.203.146

51.15.56.161

200.68.17.196

144.217.45.45

104.248.4.162

188.209.49.54

107.174.47.181

89.35.39.78

181.214.87.241

121.42.151.137

107.174.47.156

عائلات وعمليات البرامج الضارة المتنافسة (المستهدفة للإنهاء)

‍

‍

المراجع

• https://www.trendmicro.com/en_in/research/20/d/exposed-redis-instances-abused-for-remote-code-execution-cryptocurrency-mining.html
• https://help.aliyun.com/zh/acsg/best-practices-for-handling-mining-programs?spm=a2c4g.11186623.0.i4
• https://www.cnblogs.com/skystrive/p/18879419

‍