كشف باحثون عن برامج ضارة تتحكم في آلاف المواقع في شبكة Parrot TDS
أظهر بحث جديد أن نظام توجيه حركة Parrot (TDS) الذي ظهر في وقت سابق من هذا العام كان له تأثير أكبر مما كان يعتقد سابقًا.
قالت شركة Sucuri ، التي تتعقب نفس الحملة منذ فبراير 2019 تحت اسم “NDSW / NDSX” ، إن “البرنامج الضار كان أحد أهم الإصابات” التي تم اكتشافها في عام 2021 ، وهو ما يمثل أكثر من 61000 موقع.
تم توثيق Parrot TDS في أبريل 2022 من قبل شركة الأمن السيبراني التشيكية Avast ، مشيرة إلى أن نص PHP نصب خوادم الويب التي تستضيف أكثر من 16500 موقعًا لتكون بمثابة بوابة لمزيد من حملات الهجوم.
يتضمن ذلك إلحاق جزء من التعليمات البرمجية الضارة بجميع ملفات JavaScript على خوادم الويب المخترقة التي تستضيف أنظمة إدارة المحتوى (CMS) مثل WordPress والتي يُقال إنها تم اختراقها من خلال الاستفادة من بيانات اعتماد تسجيل الدخول الضعيفة والمكونات الإضافية الضعيفة.
إلى جانب استخدام أساليب التعتيم المختلفة لإخفاء الشفرة ، “قد يتم العثور على JavaScript المحقون بمسافة بادئة جيدة بحيث تبدو أقل إثارة للشك بالنسبة للمراقب العادي” ، كما قال الباحث في شركة Sucuri دينيس سينيجوبكو .
متغير JavaScript باستخدام متغير ndsj |
الهدف من كود JavaScript هو بدء المرحلة الثانية من الهجوم ، وهو تنفيذ نص PHP تم نشره بالفعل على الخادم ومصمم لجمع معلومات حول زائر الموقع (على سبيل المثال ، عنوان IP ، المرجع ، المتصفح ، وما إلى ذلك) ونقل التفاصيل إلى خادم بعيد.
تم العثور على برامج PHP الخبيثة المبهمة النموذجية في حملة NDSW |
تصل الطبقة الثالثة من الهجوم في شكل كود JavaScript من الخادم ، والذي يعمل كنظام لاتجاه حركة المرور لتحديد الحمولة الدقيقة التي يجب تسليمها لمستخدم معين بناءً على المعلومات التي تمت مشاركتها في الخطوة السابقة.
قال Sinegubko: “بمجرد أن تتحقق TDS من أهلية زائر موقع معين ، يقوم البرنامج النصي NDSX بتحميل الحمولة النهائية من موقع ويب تابع لجهة خارجية”. أكثر البرامج الضارة شيوعًا في المرحلة الثالثة هي أداة تنزيل JavaScript تسمى FakeUpdates (تُعرف أيضًا باسم SocGholish).
في عام 2021 وحده ، قال Sucuri إنه أزال Parrot TDS من ما يقرب من 20 مليون ملف JavaScript تم العثور عليه في المواقع المصابة. في الأشهر الخمسة الأولى من عام 2022 ، لوحظ احتواء أكثر من 2900 ملف PHP و 1.64 مليون ملف JavaScript على البرامج الضارة.
أوضح Sinegubko: “إن حملة البرمجيات الخبيثة NDSW ناجحة للغاية لأنها تستخدم مجموعة أدوات استغلال متعددة الاستخدامات تضيف باستمرار ثغرات أمنية جديدة مكشوفة و 0 يوم”.
“بمجرد حصول الفاعل السيئ على وصول غير مصرح به إلى البيئة ، فإنه يضيف العديد من الأبواب الخلفية ومستخدمي إدارة CMS للحفاظ على الوصول إلى موقع الويب المخترق لفترة طويلة بعد إغلاق الثغرة الأمنية الأصلية.”
إرسال التعليق