يعتقد الباحثون أن التركيز ينتقل من العملات المشفرة إلى هجمات الروبوتات التقليدية.
قام الباحثون بتزوير رابط "واضح" بين الروبوتات Abcbot ومجموعة مجرمي الإنترنت الراسخة.
تم اكتشافه لأول مرة في يوليو 2021 بواسطة Netlab 360 ، بدأ الروبوتات Abcbot كمسح ضوئي بسيط يستخدم هجمات حشو بيانات الاعتماد الأساسية واستغلال الثغرات الأمنية المعروفة لخرق أنظمة Linux الضعيفة.
ومع ذلك ، قام المطورون بسرعة بتحديث إنشائهم ليشمل آليات التحديث الذاتي ، ومجموعات الاستغلال ، ووظائف الدودة ، وما مجموعه تسع وظائف هجوم رفض الخدمة الموزعة (DDoS).
كانت هذه النتائج نقطة انطلاق لشركة Cado Security ، التي نشرت تحليلاً آخر للروبوتات في ديسمبر. بحلول هذه المرحلة ، كان الروبوت الآلي Abcbot قادرًا أيضًا على اكتشاف وقتل عمال مناجم العملات المشفرة المستندة إلى صور Docker والبرامج الضارة الموجودة بالفعل على الخادم المستهدف ، بالإضافة إلى تعطيل الشاشات السحابية بما في ذلك Aliyun Alibaba Cloud Assistant ومكونات المراقبة Tencent.
قالت Trend Micro إنه بمجرد إجراء تنظيف عميق للخوادم المخترقة ، تتم إضافة ملفات تعريف مستخدم جديدة ضارة بمستويات عالية من الامتياز ، وتم نشر عمليات أمان الفشل لمنع تعديلها أو إزالتها.
في حين أن الأمثلة السابقة لنشاط الروبوتات كشفت عن عملية تنظيف قبل أن تنشر البرمجيات الخبيثة الخاصة بتعدين العملات المشفرة ، يوم الإثنين ، يشير تحليل جديد نشرته شركة Cado Security إلى أن البرامج الضارة قد تعود إلى طرق أكثر تقليدية: وهي العودة إلى هجمات DDoS كتركيز.
وفقًا للباحثين في مجال الأمن السيبراني ، يوجد الآن رابط ثابت بين الروبوتات و Xanthe ، وهي حملة Cryptojacking وثقتها شركة Cisco Talos في ديسمبر 2020.
كشفت Talos النقاب عن Xanthe بعد أن استهدفت المجموعة موقعاً يعمل على أساس Docker مع عامل منجم Monero cryptocurrency ، XMRig. في ذلك الوقت ، ركز Xanthe على اختطاف الموارد الحسابية للخوادم الضعيفة لإنشاء عملة مشفرة واستخدم البرامج النصية bash للقضاء على البرامج الضارة المنافسة ، وكذلك للحفاظ على الثبات.
بعد مقارنة عينات Abcbot botnet و Xanthe ، عثر Cado Security على رمز وأوجه تشابه في الميزات.
كشف الرسم البياني VirusTotal المستند إلى مؤشرات الاختراق المعروفة (IoCs) والخيارات الأسلوبية والسلاسل الفريدة عن أربعة مضيفين تداخلوا في البنية التحتية وقدموا حملات Abcbot botnet و Xanthe للبرامج الضارة.
ومع ذلك ، كشفت العينات أيضًا عن التغييرات الأخيرة في الوظائف ، بما في ذلك مكونات التعدين التي تم التعليق عليها ، والتي تشير إلى أن التعدين "لم يعد [هدفًا]" لشركة Abcbot.
وقال الباحثون: "بناءً على هذا التحليل ، نعتقد أن نفس الفاعل المسؤول عن التهديد هو المسؤول عن كل من Xanthe و Abcbot ويحول هدفه من تعدين العملة المشفرة على مضيفين مخترقين إلى أنشطة مرتبطة بشكل تقليدي بشبكات الروبوتات ، مثل هجمات DDoS". "نشك في أن هذه لن تكون آخر حملة برمجيات خبيثة نقوم بتحليلها من هذا الممثل."
