🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
Home
Threat Intelligence Posts
خرق

مستشار إنتل لتهديد شبكة الروبوتات السوداء في كشمير

مستشار CloudSek للمعلومات المتعلقة بالتهديدات على KashmirBlack، يصيب المواقع التي تستخدم برامج قديمة، ويستغل CVE-2017-9841 في منصات CMS.
Updated on
August 19, 2025
Published on
October 30, 2020
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
النوع
بوت نت
الهدف
نظام إدارة المحتوى (CMS)تم تنشيط KashmirBlack botnet منذ نوفمبر 2019 وهو مرتبط بمجموعة قراصنة إندونيسية تعرف باسم PhantomGhost. في وقت سابق، كان الغرض الأساسي من الروبوتات هو إصابة مواقع الويب واستخدام خوادمها لتعدين العملات المشفرة، وإعادة توجيه حركة المرور المشروعة إلى صفحات البريد العشوائي وتشويه مواقع الويب. ولكن في مايو من عام 2020، خضع KashmirBlack لبعض التغييرات. تتعامل الروبوتات الآن مع مئات الروبوتات، كل منها يتصل بخادم C2، ويقوم بهجمات القوة الغاشمة، ويثبت الأبواب الخلفية، ويوسع حجم الروبوتات باستمرار. تبحث KashmirBlack عن المواقع التي تستخدم برامج قديمة ثم تستخدم الثغرات الأمنية المعروفة، لتهديد الموقع وخادمه الأساسي. تستهدف botnet حاليًا منصات نظام إدارة المحتوى (CMS).تصيب الروبوتات الأجهزة من خلال استغلال ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد لـ PHPUnit (CVE-2017-9841) في منصات CMS. تنتشر شبكة الروبوتات في 30 دولة، ويتم التحكم فيها بواسطة خادم C2 واحد، مع أكثر من 60 خادمًا بديلاً. تستخدم الروبوتات العديد من نقاط الضعف لإخفاء نفسها في الأجهزة المخترقة والحفاظ على عملياتها. بالإضافة إلى ذلك، تستخدم الروبوتات أطر تطوير البرامج مثل DevOps و Agile لإضافة أجهزة جديدة إليها. تتأثر معظم الشركات بسبب الارتفاع الأخير في عدد المستخدمين الذين يستفيدون من منصات CMS لدعم العمل عن بُعد.[/vc_wp_text] [vc_wp_text]

التأثير

  • يمكن استخدام Botnet لتنفيذ هجمات رفض الخدمة الموزعة (DDoS).
  • يمكن تسريب بيانات اعتماد الحساب مما يؤدي إلى عمليات الاستحواذ على الحساب.
  • يوفر للمهاجم إمكانية الوصول إلى الجهاز واتصاله بالشبكة.
[/vc_wp_text] [vc_wp_text]

اللجنة الأولمبية الدولية

بوت البريد العشوائي - الملفات الضارة والمخترقة
  1. /index.php
  2. /priv_sym/conf.php
  3. /priv_sympy/sym.py
  4. /tmp/pear/تنزيل/إيماجيك-3.4.4.tgz
  5. /wp-content/plugins/three-column-screen-layout/db.php
  6. /wp-content/plugins/wordfence/url/cach/classes/model/wp-pingg.php
  7. /wp-content/sqlapi.php
  8. /wp-content/themes/danfe/db.php
  9. /wp-content/themes/danfe/indx.php
  10. /wp-content/themes/danfe/ramage_Libytheidae.php
  11. /wp-content/themes/danfe/tbl_status.php
  12. /wp-content/themes/danfe/wp_class_datlib.php
  13. /wp-content/themes/danfe/wp-data.php
  14. /wp-load.php
  15. الملفات ذات البادئة «original1".
عناوين IP الكشميرية السوداء المعروفة
  1. 101.50.3.132
  2. 160.153.192.222
  3. 198.1.98.189
  4. 35.240.254.161
  5. 103.11.75.15
  6. 161.189.159.172
  7. 198.37.123.60
  8. 35.242.128.177
  9. 103.116.16.67
  10. 161.189.202.40
  11. 198.57.247.202
  12. 35.244.124.106
  13. 103.145.226.104
  14. 162.144.18.118
  15. 198.58.99.254
  16. 35.244.72.212
  17. 103.147.154.41
  18. 162.144.68.170
  19. 199.101.100.123
  20. 35.247.132.6
  21. 103.21.58.29
  22. 162.214.71.13
  23. 199.101.100.124
  24. 35.247.160.99
  25. 103.229.72.13
  26. 162.241.143.7
  27. 199.188.200.224
  28. 35.247.185.96
  29. 103.229.72.89
  30. 162.241.156.242
  31. 199.79.62.126
  32. 37.187.163.201
[/vc_wp_text] [vc_wp_text]

التخفيف

  1. تأكد من تحديث ملفات ووحدات CMS الأساسية.
  2. استخدم كلمات مرور قوية.
  3. نشر جدار حماية تطبيق الويب (WAF).
  4. يجب رفض الوصول أو تقييده للملفات والمسارات الحساسة مثل wp-config.php وinstall.php وeval-stdin.php.
  5. حافظ على تحديث نظامك واستخدم برنامج مكافحة الفيروسات.
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
جدولة عرض تجريبي
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more