🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
Home
Threat Intelligence Posts
استخبارات الخصم

تم إسقاط البرنامج النصي لـ Hoze shell جنبًا إلى جنب مع عمال مناجم XMrig على خوادم SSH التي تم تكوينها بشكل خاطئ عن طريق الإجبار الغاشم

كشف فريق استخبارات التهديدات في CloudSek عن حملة، تعمل بنشاط منذ 1.8 عامًا، تهاجم SSH وتجبره على الغاشمة.
Updated on
August 19, 2025
Published on
September 8, 2023
Read MINUTES
6
Subscribe to the latest industry news, threats and resources.

الفئة: استخبارات الخصم

الصناعة: متعدد

التحفيز: نقدي

البلد: عالمي

مصدر*:

ج: يمكن الاعتماد عليها

1: تم التأكيد عليه من قبل مصادر مستقلة

ملخص تنفيذي

  • كشف فريق استخبارات التهديدات في CloudSek عن حملة، تعمل بنشاط منذ 1.8 عامًا، تهاجم SSH وتجبره على الغاشمة.
  • تم إنشاء أحدث نموذج لهذه الحملة في 29 مارس 2023، باستخدام عنوان IP HxxP: //141 [.] 98 [.] 6 [.] 76 [:] 6972/HOZE.
  • لقد اكتشفنا أيضًا اتصالات متعددة لهذا البرنامج النصي الضار مع العديد من عمال مناجم العملات وعنوان بريد إلكتروني لمزيد من الإسناد.

التحليل والإسناد

الملكية الفكرية: 141 [.] 98 [.] 6 [.] 76

تم بالفعل وضع علامة على عنوان IP بأنه ضار لأنه حاول تنفيذ هجمات SSH باستخدام طريقة bruteforce. أثناء التحقيق في عنوان IP هذا، تبين أنه يتواصل مع «Hoze» وهو برنامج نصي ضار للهجوم. يطلب هوز عنوان URL التالي: http://141.98.6.76:6972/xrx.tar.

ملف TAR هو أرشيف قابل للتنزيل يحتوي على ملف واحد أو أكثر من ملفات Linux التنفيذية. تُعرف هذه البرامج عمومًا باسم البرامج النصية لتعدين المتابعة لإلغاء تثبيت برامج الأمان وتمكين الأذونات القابلة للتنفيذ.

xrx/secure

xrx/config.json

xrx/chattr

xrx/scp

xrx/key

xrx/init0

xrx/init.sh

xrx/uninstall.sh

تحليل محتويات الملف

يعرض ملف config.json، وهو في الأساس ملف تكوين عامل منجم، معلومات حساسة تحتوي على حقول بيانات مثل عنوان URL والعملة والمستخدم وكلمة المرور وما إلى ذلك، مع مواقع الويب المختلفة التي تم تصنيفها على أنها ضارة لعلامات تعدين العملات.

الشكل - تم العثور على ملف config.json لعنوان IP الذي يتصل ببرنامج Hoze النصي


اسم المستخدم (4bdcc1fbz26hzpyhkqe95akourdm6emnwbpfwbqjhglexazspqym8pm2jt8jjrnt5vjkhau1b1mmcjt9vjhag2qrl) هو عنوان مونيرو يكشف عن محفوظات الدفع التي يعود تاريخها إلى 676 يومًا، أي حوالي 1.8 عامًا تقريبًا.

الشكل - إحصائيات عنوان مونيرو (XMR)


تم اكتشاف العديد من مجمعات التعدين المرتبطة بنفس المحفظة:

45.10.20. 100:2008

185.252.178. 82:2008

حمام سباحة. ثعبان أبيض. الكنيسة: 2008

دعم المسبح xmr.com: 443

141.98.6. 76:2008

مفتاح SSH العام

كان هناك مفتاح SSH عام في الأرشيف المستضاف على عنوان URL أعلاه. تمت ملاحظة هذا المفتاح أيضًا في تقرير AhnLabs لـ CoinMiner الذي يستهدف خوادم Linux SSH التي تم تكوينها بشكل خاطئ، مع تتبع هذه الحملة إلى عام 2022. 


SSH Key:
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCh047MLLA8ul64R+zVcEezUGtPUhnB+6mSzXoikFgju2orDUBX4K1ve/SW2pMQeQf9ErQojugX43N0iJYtuZUCgtH3A3oLV7zlhbkMuxjfgoUEovBXlAe9sXtLPnbYE999hT0M+OVv2l5/dDgiXs3eG9/BtcuPBEQ4lnH2YdFkckUJmrQQctA1ItFGTNB9fiFu44bH7JjRxSPt97PJPjeEcbEMdJyx4y827NpogeL2QSCfj7II9XdfgaarEOeEF9abY6+1RqDhElhz4ZSQTfoSkl8/8LyBXun7ybdVYxxJdxGznDpNBHyYEcKZFRy9q4mTHBeXMlWiGimSpE7dyhuT rsa-key

بعد المعلومات التي تم الحصول عليها من AhnLabs بسبب نفس مفتاح SSH المستخدم في الحملة الأخيرة، لاحظنا وجود عنوان بريد إلكتروني في معلومات تعدين XMrig الخاصة بممثل التهديد.

تجمع التعدين: السيد دي - 2020 [.] نت: 144

المحفظة: 85 ميكزاجXQM1i9RLD1B7xQ4JDDQUTT1FWGTZPH42سم 5PSRMQW9R7SUE 28TS86BW3MQ8K4ZRGAMW6ZVllBMQ.العامل 01/[email protected]

استنادًا إلى المعلومات التي تم الحصول عليها من خرق البيانات حيث تم اختراق البريد الإلكتروني أعلاه، فإنه ينتمي إلى Marian Andrei. ومع ذلك، لم يتم تأكيد صحة البيانات بعد.

Email/ Paypal

[email protected]

Name

Bol Eu

Account ID

112729794039466953943

Name

Marian Andrei

Address

Bulevard 1, Decembrie 1918, nr. 13-15, București, Romania, 032452

Gender

Female

Skype

HM Revenue

ملف xrx/xrx

تم العثور على بعض الملفات الموجودة في الأرشيف المضغوط مشفرة لتجنب الاكتشاف. استنادًا إلى تحقيقنا، تمت ملاحظة بروتوكول نموذجي لتعدين الطبقات، والذي يحدد بشكل أساسي كيفية تواصل عمليات التعدين المجمعة، مما يجعل عمليات نقل البيانات أكثر كفاءة.

المراجع

التخفيف

  • تنفيذ سياسة كلمة مرور SSH قوية وتجنب التكوين الخاطئ أو الإعدادات الافتراضية.
  • مراقبة الحالات الشاذة التي تشير إلى محاولات الإجبار الغاشم من خلال سجلات الأمان وسجلات النظام وسجلات الأخطاء وما إلى ذلك.
  • تثبيت برنامج قوي لمكافحة الفيروسات لاكتشاف أي تنزيلات أو ملفات تنفيذية موجودة في النظام.

مؤشرات التسوية (IOCs)

SHA1

1f83a67fb874e75874098aae21d79ec3e02a6144

URL

45.10.20.100:2008

185.252.178.82:2008

pool.whitesnake.church:2008

pool.supportxmr.com:443 

141.98.6.76:2008 

Wallet Address

4BDcc1fBZ26HAzPpYHKczqe95AKoURDM6EmnwbPfWBqJHgLEXaZSpQYM8pym2Jt8JJRNT5vjKHAU1B1mmCCJT9vJHaG2QRL



CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
جدولة عرض تجريبي
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more