دليل إنتل حول تهديد الروبوتات لتعدين العملات المشفرة في Xanthe

تعمل خدمة CloudSek الاستشارية الخاصة بالاستخبارات المتعلقة بالتهديدات على شبكة Xanthe لتعدين التشفير التي تستهدف أنظمة Linux على اختراق واجهات برمجة تطبيقات خادم Docker التي تم تكوينها بشكل خاطئ.

تم التحديث بتاريخ

April 17, 2026

تم النشر في

December 11, 2020

اقرأ الدقائق

اشترك في أحدث أخبار الصناعة والتهديدات والموارد.

جدول المحتويات

هذا أيضًا عنوان
هذا عنوان

استشارة

ذكاء البرامج الضارة

الهدف

دوكر/لينكس

النوع

زانثي كريبتومينيرXanthe عبارة عن شبكة روبوت لتعدين التشفير قادرة على اختراق خوادم Docker التي تتعرض واجهة برمجة التطبيقات الخاصة بها للإنترنت. يستهدف Xanthe أنظمة Linux وهو متعدد الوحدات. يتم تحديد وظائفها في وحدات منفصلة، حيث تكون الحمولة الفعلية نوعًا مختلفًا من عامل تعدين العملات المشفرة XMrig.يمكن أن تصيب البرامج الضارة العديد من المضيفين عن طريق سرقة شهادات من جانب العميل لبدء الانتشار عبر Secure Shell (SSH) دون الحاجة إلى بيانات اعتماد. إنه يقتل خدمات الأمن وغيرها من منافسي الروبوتات.

الوحدات

الوحدات موجودة في نصوص bash التي يمكن تنفيذها بواسطة Linux shell. الوحدة الرئيسية هي Xanthe.sh التي تقوم بتحميل أربع وحدات أخرى للقيام بعروض المهاجم:

إخفاء عملية الليب: كائن مشترك يستخدم لإخفاء الوحدات والملفات المساعدة التي تستخدمها البرامج الضارة
xesa.txt: وحدة قاتلة لخدمات الأمن لقتل العمليات المتعلقة بالكشف عن البرامج الضارة والاستجابة لها
java_c Xmrig: حمولة التعدين التي تستخدمها البرامج الضارة
fczyo: قاتل منافسة Docker، يزيل الروبوتات الموجودة بالفعل على الخادم

فيما يلي سلاسل الوكلاء المستخدمة في curl بواسطة البرامج الضارة:

سلسلة الوكيل

الوظيفة

زانث-ستارت/ <version>تنزيل الوحدات القاتلةزانثيشيك - $proc. $MEMعملية التهيئةفيليجيتجو/1.5تنزيل وحدات التعدينتشغيل الزانث/1.2تسجيل ما بعد الإصابةفحص المضيف/1.5سطر أوامر نشر SSHqi/1.1نشر دوكر لسطر الأوامرفازيو-كرون/1.5سطر أوامر مهمة Cron المجدولةgoteeem/1.4قم بتنزيل الوحدة الرئيسية بعد الإصابة بـ Dockerنجاح القشرة/1.4تسجيل تنزيل بوست دوكرالتحقق من التشغيل/1.4تسجيل فحص ما بعد الإصابةيجب أن نكون قد قتلنا/1.4أبلغ عن أن عامل المنجم لا يعمل

التأثير

التأثير الفني

يمكن أن تسمح واجهة برمجة تطبيقات Docker المكشوفة للمهاجمين بتثبيت صور مخصصة على البنية التحتية المستهدفة لتجاوز آليات الأمان ونشر برامج التعدين الضارة.
تشكل الهجمات المتعلقة بـ Docker تهديدًا [هروب Docker] للنظام المضيف الأساسي الذي يتحدى السرية والنزاهة والتوافر.
يعد تعدين العملات المشفرة مهمة شاملة للموارد، وبالتالي تستهلك البرامج الضارة معظم القوة الحسابية للنظام المخترق للأنشطة المتعلقة بالتعدين.
تتعرض الشبكة بأكملها لخطر الاختراق من خلال استحواذ Docker.

تأثير الأعمال

تتعرض خدمات المهام الحرجة، التي تعمل على البنية التحتية لـ Docker، لخطر هجمات DoS من جهة التهديد.
يؤدي استهلاك الموارد غير المصرح به إلى تدهور جودة الخدمة.
إنه يتحدى أمان الشبكة والمضيف.

عوامل التخفيف

التدقيق الدوري لتكوين عامل الإرساء
إجراء تحليل ديناميكي للتهديدات لاكتشاف الحالات الشاذة
المراقبة الصارمة للشبكة (IDPS)
حلول XDR/EDR الفعالة على المضيفين

مؤشرات التسوية

الملكية الفكرية

34 [.] 92 [.] 166 [.] 158165 [.] 22 [.] 48 [.] 169138 [.] 68 [.] 14 [.] 52139 [.] 162 [.] 124 [.] 2764 [.] 225 [.] 46 [.] 44

الدومين

زانثي [.] أنونينز [.] netمونيرو [.] gktimer [.] comحمام السباحة [.] supportxmr [.] com

عناوين المحفظة

47E4C2OGB92V2PZMZAIVMNT2MJXVBJ4TCJHAD 4QFS2KRJFHQ44q81dPAJPC1KWKQEP1YHDRMGالغراء 6YDHPX5WEVA1U+3500

عناوين URL

الرمز البريدي: //165 [.] 22 [.] 48 [.] 169:8080 /adncil2hxp: //138 [.] 68 [.] 14 [.] 52:8080 /ملفات/ملحقالرمز البريدي: //138 [.] 68 [.] 14 [.] 52:8080 /files/iqmjlf.jpghxxp: //بلوجر [.] org/10xNQ3hxxps: //بلوجر [.] org/1rfy7hxxps: //بلوجر [.] org/1iGCE7hxxps: //iplogger [.] org/1mmup7الرمز البريدي: //34 [.] 92 [.] 166 [.] 158:8080 /files/pop.shالرمز البريدي: //34 [.] 92 [.] 166 [.] 158:8080 /files/xesa.txthxxp: //34 [.] 92 [.] 166 [.] 158:8080 /ملفات/fczyohxxp: //34 [.] 92 [.] 166 [.] 158:8080 /ملفات/java_chxp: //34 [.] 92 [.] 166 [.] 158:8080 /files/config.jsonhxp: //34 [.] 92 [.] 166 [.] 158:8080 /ملفات/libprocesshider.so

تجزئات

43 ديسيبل 1 ديسيبل 95 أمبير 300 أمبير 96 أمبير 20890a1 c768 a5218 b04516893744 cff82097 a52 a51 f7c6cb730a34e0b3de1e927b1c137e1d18191550091 c0d35 de30f68d الوجه 554783b16079a80bdd85cb72a0fa5c956d43922a7518697eeb8a1638164418820390 ج8 قدم 7 بوصة مقاس 7 بوصة مقاس 3 بوصة مقاس 2 بوصة مقاس 5 بوصة مقاس 5 بوصة مقاس 5 بوصة × 10 بوصة مقاس 6 بوصة × 7 بوصة × 3 بوصة × 3 بوصة × 10 بوصة × 7 بوصة × 7 بوصة × 3 بوصة × 7 بوصة × 3 بوصة × 3 بوصة × 7 بوصة × 3 بوصة × 3 بوصة × 7 بوصة × 3 × 9 بوصة6a5a0bcb6094597d61 d5311 a4590 f1850 c2ba7f44bcde4a81b2d1 تأثير 57c10e1d73e8a894e5bf07e6779 ac8085da09a445e61072349310158b0276 bb28d - config.json071633c8ea4bac5d6acfe1cd22b3a3f258 d99e8073 dd2611 eee9876ae40d64 - xanthe.shd4637a2efda1fda1a96e7f3e31f2c618ce680d3816 ba38f075 ffefec77a10f16 - pop.sh73bcf268a8481d55db0da34eaf3094f010ed5ed5acaf632d2f97ed7bab036 - fczyo0e6d37099 dd89c7 eed44063420 bd05a2d7b0865a0f690e12457 fbec68f9b67a8 - libprocesshider.soe1a3ff46a99f4fd93d99b0e61fe4d894c2a69490 d71cb34ab10e4af0d2 - xesa.txt30a77ab582f0558829a78960929f657a7a7c3c03c2c89c5a0f6934b79a74b7a4 - جافا_c

CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.

جدول المحتويات

هذا أيضًا عنوان
هذا عنوان

المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek

June 12, 2023

تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS

May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.

جدولة عرض تجريبي

بيانات معلومات التهديدات في الوقت الحقيقي

مزيد من المعلومات والسياق حول الدردشة تحت الأرض

خدمات البحث حسب الطلب

موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.

موثوق بها من قبل أكثر من 400 مؤسسة رائدة

ابدأ

تعرف على المزيد