يقوم عمال مناجم العملات المشفرة الضارون باختراق مراكز البيانات الأكاديمية

عانت مراكز البيانات الأكاديمية في جميع أنحاء أوروبا وأمريكا الشمالية والصين من سلسلة من الهجمات التي ربما تم تنفيذها لتعدين مونيرو.

تم التحديث بتاريخ

April 16, 2026

تم النشر في

May 22, 2020

اقرأ الدقائق

في سلسلة من الهجمات التي قد تكون منسقة، تستهدف شركات تعدين العملات المشفرة الخبيثة مراكز البيانات الأكاديمية في جميع أنحاء الصين وأوروبا وأمريكا الشمالية، مما يعطل أبحاث COVID-19.
يعتقد فريق الاستجابة لحوادث أمن الكمبيوتر في EGI أن المهاجم ينتقل من ضحية إلى أخرى باستخدام بيانات اعتماد SSH المخترقة، مع نية تعدين Monero.

المضيفون المستهدفون مصابون ببرامج ضارة و يتم تغييرها لتكون بمثابة:
- مضيفو تعدين XMR (عن طريق تشغيل ثنائي XMR مخفي)
- مضيفو XMR-Proxy؛ يستخدم المهاجم هؤلاء المضيفين من مضيفي تعدين XMR للاتصال بمضيفي XMR-Proxy الآخرين وفي النهاية بخادم التعدين الفعلي.
- مضيفو بروكسي SOCKS (يقومون بتشغيل مثيل MicroSocks على منفذ مرتفع)؛ يتصل المهاجم بهؤلاء المضيفين عبر SSH، غالبًا من Tor. يتم استخدام MicroSocks من Tor أيضًا.
- مضيفو النفق (نفق SSH)؛ يتصل المهاجم عبر SSH (الحساب المخترق) ويقوم بتكوين NAT PREROUTING (عادةً للوصول إلى مساحات IP الخاصة).

التكتيكات

يتم الاستفادة من TOR أو المضيفين المخترقين للاتصال بخوادم SOCKS proxy.
من بين العديد من التقنيات الأخرى، يستخدم المهاجمون أيضًا وحدة Linux Kernel الخبيثة للتغطية على أنشطتهم.
يتم سرقة بيانات اعتماد SSH للوصول إلى المضيفين. على الرغم من أنه من غير المعروف كيف يسرق المهاجمون أوراق الاعتماد، فقد تمكن بعض الضحايا من العثور على ثنائيات SSH المخترقة.
لتجنب الاكتشاف، تم تكوين نشاط XMR بطريقة لا تعمل إلا في الليل.

تفاصيل الملف

قم بتشغيل kill -63 $ (معرف عشوائي) متبوعًا بـ lsmod، ثم ابحث عن وحدات بأسماء مثل: ديامورفين، scsi، iscsi، readaps.
تحقق من محتوى /etc/cron.hourly/0anacron.
ملفات أخرى:

/الصفحة الرئيسية/ */.موزيلا/xdm

/tmp/.dbs *

/tmp/.lock

/tmp/aes.tgz

/tmp/db.tgz

/tmp/dbsyn *

/tmp/محجوز

/tmp/systemdb

/tmp/تم تحديثه

/tmp/فحص الطاقة

/var/tmp/.lock/قباقيب

/var/tmp/.lock/cpa.h

/var/tmp/.lock/سجلات

/wlcg/arc-ce1/ذاكرة التخزين المؤقت/.cache

/apps/.ior/read/.terma

/apps/.ior/read/.termb

/etc/fonts/.fonts (الملف الثنائي المطلوب للتصعيد ذي الامتيازات (يحتوي على `setgid (0)؛ setuid (0)؛ excel ('/bin/bash/'، {'bash'، NULL}، NULL) `)

/etc/fonts/.low (منظف السجل، قادر على إزالة السجلات والإدخالات المطابقة لمستخدمين محددين (خلال فترة زمنية معينة) في معظم ملفات السجل)

/tmp/hdshare

/tmp/readps

/usr/بين/أون_ac_power

/usr/lib/libocs.so

/usr/lib64/.lib/l64

/usr/share/aldi.so

/المستخدم/المشاركة/sos/

/usr/share/sos/rh.pub

/usr/share/sos/rh.pub

/var/tmp/.lock

/etc/ترمينفو/.terma

/etc/terminfo/.termb

$home/.mozilla/الإضافات/.Fonts

$HOME/.mozilla/الإضافات/.low

$home/.mozilla/الإضافات/.aa

$HOME/.mozilla/الإضافات/الاختبار

/usr/lib64/.lib/l64

/var/ألعاب/.terma

مؤشرات التسوية

مؤشرات الشبكة

الملكية الفكرية

تعليق

دور في الهجوم

91.196.70.109 خادم التعدين XMR تنسيق نشاط XMR 149.156.26.227 خادم الضحية andromeda.up.krakow.pl عنوان IP الضار المستخدم لعمليات تسجيل الدخول إلى SSH+تشغيل SocksProxy 149.156.26.56 خادم الضحية vega.up.krakow.pl عنوان IP ضار يُستخدم لعمليات تسجيل الدخول إلى SSH+تشغيل بروكسي SOCKS 142.150.255.49 سطح مكتب الضحية UTORONTO مصدر للهجوم على مضيفي .ca 159.226.234.29 خادم الضحايا في CAS، الصين عنوان IP ضار يُستخدم لعمليات تسجيل الدخول إلى SSH+تشغيل بروكسي SOCKS 149.156.26.227 أندروميدا. up.krakow.pl (تم تنظيف المضيف الآن) عنوان IP الضار المستخدم لتسجيل الدخول إلى SSH 202.120.32.231 جامعة شنغهاي جياوتونغ عنوان IP المستخدم لعمليات تسجيل الدخول إلى SSH 202.120.58.243 جامعة شنغهاي جياوتونغ عنوان IP المستخدم لعمليات تسجيل الدخول إلى SSH 202.120.58.244 جامعة شنغهاي جياوتونغ عنوان IP المستخدم لعمليات تسجيل الدخول إلى SSH

الملكية الفكرية

تعليق

دور في الهجوم

2001: اليوم 8:8000:63:199:433 ج: 16 ج 7 ج 68 جامعة شنغهاي جياوتونغ عنوان IP المستخدم لعمليات تسجيل الدخول إلى SSH 2001: اليوم 8:8000:6300:1 ج 22:6545:295 د: 55 درجة مئوية جامعة شنغهاي جياوتونغ عنوان IP المستخدم لعمليات تسجيل الدخول إلى SSH 2001: اليوم 8:8000:6300:1 سم مكعب 4:148 هـ: 4368:1 ديسيلتر جامعة شنغهاي جياوتونغ عنوان IP المستخدم لعمليات تسجيل الدخول إلى SSH 2001: اليوم 8:8000:6300:6 ج 46: ج ب 5 ب: 478:185 هـ جامعة شنغهاي جياوتونغ عنوان IP المستخدم لعمليات تسجيل الدخول إلى SSH 2001: اليوم 8:8000:63 00:79 25:537 77:34 a8:e4b3 جامعة شنغهاي جياوتونغ عنوان IP المستخدم لعمليات تسجيل الدخول إلى SSH 2001: اليوم 8:8000:63:8 ج 84:868:9 سم 5:33 جامعة شنغهاي جياوتونغ عنوان IP المستخدم لعمليات تسجيل الدخول إلى SSH 2001: اليوم 8:8000:6300: /64 جامعة شنغهاي جياوتونغ عنوان IP المستخدم لعمليات تسجيل الدخول إلى SSH 159.226.161.107 CSTNET، الصين عنوان IP الضار المستخدم لتسجيل الدخول إلى SSH 159.226.234.29 CSTNET، الصين عنوان IP الضار المستخدم لتسجيل الدخول إلى SSH

قائمة مضيفي TOR (مستخدمو وكيل SOCKS)

51.77.135.89 (يُستخدم أيضًا لعمليات تسجيل الدخول الضارة على SSH) 51.15.177.65 51.75.52.118 51.75.144.43 51.79.53.139 51.79.86.181 212.83.166.62

قائمة بالمضيفين المشتبه بهم

159.226.88.110 (سي إس نت، الصين. الوصول إلى TCP/44300 (من krakow.pl): يتم التحقيق فيه بواسطة CSTCERT 159.226.62.107 (CSNET، الصين. الوصول إلى HTTPS (من krakow.pl): تم اختراقه (تعدين XMR) وإعادة تثبيته من قبل المشرف ~2020-05-08 159.226.170.127 (CSNET، الصين. الوصول إلى TCP/21 من krakow.pl): يتم التحقيق فيه بواسطة CSTCERT 132.230.222.12 (يوني-فرايبورغ). وصول SSH (من krakow.pl): تم التحقيق فيه (تم العثور على ثنائيات SSH الخبيثة) (ليس من الواضح ما إذا كانت متورطة في هذا أو 202005.12 فقط) 192.154.2.203 (أوكلا، الولايات المتحدة الأمريكية. الوصول إلى SSH من krakow.pl): تم الإخطار به. 129.49.37.67 (جامعة ولاية نيويورك، الولايات المتحدة الأمريكية. الوصول من وكيل SOCKS): تم الإخطار.

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.

موثوق بها من قبل أكثر من 400 مؤسسة رائدة