🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي

تستهدف البرامج الضارة المخصصة Kaiji أجهزة إنترنت الأشياء عبر التأثير الغاشم لـ SSH

يمكن للبوت نت الصيني الأصل، Kaiji، الذي تم إنشاؤه من الصفر بلغة Golang، شن هجمات DDoS متعددة، SSH bruteforcer، موزع SSH.
Updated on
August 19, 2025
Published on
May 13, 2020
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
  • اكتشفت إنتيزر شبكة بوت نت جديدة من أصل صيني تستهدف الخوادم وأجهزة إنترنت الأشياء عبر التأثير الغاشم لـ SSH.
  • على عكس شبكات الروبوت الشائعة التي تستخدم عمليات الزرع من أدوات الويب المفتوحة المصدر الشائعة أو أدوات الويب المظلمة، يستخدم Kaiji غرسات مخصصة.
  • لقد تم بناؤه من الصفر بلغة برمجة Golang، وهو أمر غير شائع في شبكات إنترنت الأشياء.
  • على الرغم من بساطتها، إلا أن Kaiji لديها القدرة على إطلاق:
    • هجمات DDoS المتعددة مثل هجمات ipspoof وهجمات synack
    • وحدة SSH بروتيفورسر لمواصلة الانتشار
    • موزع SSH يقوم باختطاف مفاتيح SSH المحلية لإصابة المضيفين الذين اتصل بهم الخادم سابقًا.

العدوى الأولية

  • ينتشر Kaiji عبر التأثير الغاشم لـ SSH من خلال استهداف مستخدمي الجذر.
  • نظرًا لأنه يتطلب إمكانية صياغة الحزم، والتي لا يمكن تنفيذها إلا عبر مستخدم أساسي، فإنه يستهدف المستخدم الجذر فقط.

التنفيذ

  • بعد إنشاء اتصال SSH، يقوم بتنفيذ برنامج bash لإعداد البيئة للبرامج الضارة.
  • ثم يتم إنشاء دليل /usr/bin/lib.
  • ويتم تثبيت البرامج الضارة تحت اسم الملف 'netstat' أو 'ps' أو 'ls' أو أي اسم آخر لأدوات النظام.
  • بمجرد التنفيذ، يتم نسخ Kaiji إلى /tmp/seeintlog ويطلق المثيل الثاني الذي يبدأ عملياته. تتكون عمليات الزرع من 13 عملية جراحية مركزية.
  • يقوم روتين DoLink بفك تشفير عنوان C2 وتسجيل الخادم المصاب باستخدام خادم الأوامر.
  • ثم تقوم بتشغيل الروتينات الخاصة بـ doTask و RotKit.
  • يجلب روتين Main_dotask أوامر من C2، بما في ذلك:
    • تعليمات DDoS
    • تعليمات SSH bruteforce، بما في ذلك نطاق المضيف وكلمة المرور لمحاولة تسجيل الدخول
    • قم بتشغيل أمر shell
    • استبدال خوادم C2
    • احذف نفسها وأزل كل المثابرة
  • لتنفيذ هجوم DDoS، فإنه يسترجع أسلوب الهجوم والهدف، بما في ذلك:
    • تطبيقان لـ TCPflood (أحدهما بمقابس أولية)
    • تطبيقان لـ UdpFlood (أحدهما بمقابس أولية)
    • هجوم انتحال بروتوكول الإنترنت
    • هجوم سيناك
    • هجوم SYN
    • هجوم ACK
  • يحاول روتين DDos_rotkit الاتصال بالمضيفين المعروفين عبر مفاتيح SSH RSA أو عناوين IP الموجودة في سجل bash.

إصرار

تقوم البرامج الضارة بتثبيت الثبات من خلال خدمات rc.d و Systemd:
  • main_runghost: يقوم بتثبيت الثبات من خلال /etc/profile.d (/etc/profile.d/linux.sh)
  • main_rundingshi: يثبت الثبات من خلال crontab
  • main_runganran: الباب الخلفي للبرنامج النصي الأولي لـ SSH /etc/init.d/ssh لاستدعاء rootkit عند بدء التشغيل
  • main_runshouhu: يقوم بنسخ الروتكيت إلى /etc/32679 وتشغيله كل 30 ثانية.
  • main_runkaiji: يقوم بتثبيت المزيد من ملفات init.d ذات الثبات، على سبيل المثال: /etc/init.d/boot.local
  • ddos_rdemokill: يفحص وحدة المعالجة المركزية بشكل دوري ويقتلها إذا كانت أعلى من 85٪.

مؤشرات التسوية

  • 4e8d4338 cd3b20cb027a8d108c654c10843e549c3f3f3dd6646 ac2b8ffbe24d
  • 9198853b8713560503 a4b76d9b854722183a94f6e9b2a46c06cd2865c329 f7
  • 98ae62701d3a8a75a19028437 bc2d1156eb9bfc08661 c25d5c2e26e364
  • 0ed0a9b9ce741934 f8c7368 cf3499b2b60d866f7cc7669f65d0783f3d7e98f7
  • F4A64AB3FFC0B4A94FD07a55565F24915B7A1 AAEC58454 DF5E47D8F8A2EE22A
  • 9f090a241 eec74a69e06a5ffed876c7a372ff31e 171924673b6b5f1552814c
  • 370 قدم مربع 28 ساعة 8 ج 7 سا 50275957 ب 47774 د 753 أ ب 6 د 7 ج 504 ف 0 ب 81 ج 90 ج 7 ج 96 ج 591 أ 97
  • 357 acbacdb9069b8484f4fdead 1a946e2eb4a505583058f91 f40903569 f3f3
  • تاريخ إصدار cu [.] xyz
  • 1. يوم الإصدار [.] xyz
  • www.aresboot [.] xyz
  • www.6×66 [.] com
  • www.2s11 [.] com

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
جدولة عرض تجريبي
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations