بدافزار جدید Plague با تکنیک‌های پیشرفته به سرورهای لینوکس حمله می‌کند

محققان امنیت سایبری از شناسایی یک بدافزار جدید و پیشرفته به نام "Plague" خبر داده‌اند که به طور خاص سرورهای مبتنی بر سیستم‌عامل لینوکس را هدف قرار می‌دهد. این بدافزار که به عنوان یک بک‌دور (Backdoor) پیچیده عمل می‌کند، از تکنیک‌های پیشرفته برای گریز از تشخیص بهره می‌برد و پس از نفوذ، کنترل کامل سرور را در اختیار مهاجمان قرار می‌دهد. کارشناسان به مدیران سیستم هشدار داده‌اند که اقدامات پیشگیرانه را برای مقابله با این تهدید جدی، فوراً به کار گیرند.

جزئیات بدافزار چیست؟

• نام بدافزار: Plague

• نوع تهدید: بک‌دور (Backdoor) پیشرفته با قابلیت‌های گریز از تشخیص

• سیستم‌عامل هدف: سرورهای مبتنی بر لینوکس (Linux)

• تأثیر: فراهم کردن دسترسی کامل از راه دور برای مهاجمان، سرقت اطلاعات حساس، اجرای دستورات دلخواه و نصب بدافزارهای ثانویه.

• روش نفوذ اولیه: سوءاستفاده از آسیب‌پذیری‌های وصله‌نشده در نرم‌افزارها و استفاده از رمزهای عبور ضعیف برای نفوذ از طریق سرویس SSH.

• وضعیت: این بدافزار در حال حاضر فعال بوده و در حال آلوده کردن سرورهای لینوکسی در سراسر جهان است.

بدافزار چگونه عمل می‌کند؟

1. نفوذ اولیه: مهاجمان با اسکن اینترنت، سرورهای لینوکسی را که دارای نرم‌افزارهای قدیمی و آسیب‌پذیر یا رمزهای عبور مدیریتی ضعیف هستند، شناسایی می‌کنند.

2. نصب و اجرا: پس از به دست آوردن دسترسی اولیه، بدافزار Plague را بر روی سیستم قربانی دانلود و اجرا می‌کنند.

3. ایجاد پایداری (Persistence): بدافزار با ایجاد سرویس‌های سیستمی جدید یا افزودن وظایف زمان‌بندی‌شده (Cron Jobs)، تضمین می‌کند که حتی پس از راه‌اندازی مجدد سرور، فعالیت خود را ادامه دهد.

4. گریز از تشخیص: این بدافزار از روش‌های مختلفی برای پنهان ماندن استفاده می‌کند، از جمله رمزگذاری ارتباطات خود با سرور فرمان و کنترل (C2) و تغییر شکل کد خود برای جلوگیری از شناسایی توسط آنتی‌ویروس‌ها.

5. ارتباط با مهاجمان: پس از فعال‌سازی، بدافزار یک کانال ارتباطی امن با سرور مهاجمان برقرار کرده و منتظر دریافت دستورات می‌ماند.

6. اجرای دستورات مخرب: از این طریق، مهاجمان می‌توانند هر دستوری را روی سرور اجرا کنند، فایل‌ها را بدزدند، بدافزارهای دیگری مانند باج‌افزار یا استخراج‌کننده رمزارز (Cryptominer) را نصب کنند، یا از سرور آلوده برای حمله به دیگر سیستم‌ها بهره ببرند.

وضعیت فعلی تهدید

محققان امنیتی افزایش مداومی در تعداد سرورهای آلوده به بدافزار Plague را در سراسر جهان گزارش کرده‌اند. در حال حاضر، این بدافزار به گروه هکری خاصی نسبت داده نشده است، که این احتمال را مطرح می‌کند که یا توسط یک گروه جدید و ناشناس توسعه یافته و یا توسط چندین گروه مختلف مورد استفاده قرار می‌گیرد. تمرکز اصلی این حملات بر روی سرورهایی است که به درستی مدیریت نشده و دارای ضعف‌های امنیتی آشکار هستند.

چگونه از خود محافظت کنیم؟

• به‌روزرسانی مداوم: تمام بسته‌های نرم‌افزاری و سیستم‌عامل سرور خود را همیشه به آخرین نسخه ارتقا دهید.

• استفاده از رمزهای عبور قوی: برای تمام حساب‌ها، به ویژه حساب‌های مدیریتی و سرویس SSH، از رمزهای عبور پیچیده و منحصربه‌فرد استفاده کنید.

• فعال‌سازی احراز هویت چندعاملی (MFA): برای ورود به سرور و سرویس‌های حساس، حتماً MFA را فعال کنید.

• پیکربندی صحیح فایروال: دسترسی به پورت‌های مدیریتی مانند پورت ۲۲ (SSH) را فقط به آدرس‌های IP معتبر و شناخته‌شده محدود کنید.

• نظارت بر سیستم: لاگ‌های سیستم و ترافیک ورودی و خروجی شبکه را برای یافتن هرگونه فعالیت غیرعادی یا مشکوک به طور منظم بررسی کنید.

• استفاده از ابزارهای امنیتی: از راهکارهای امنیتی مدرن مانند EDR (Endpoint Detection and Response) که مخصوص لینوکس طراحی شده‌اند، استفاده نمایید.

چرا این تهدید مهم است؟

سرورهای لینوکس ستون فقرات اینترنت و زیرساخت‌های حیاتی بسیاری از سازمان‌ها را تشکیل می‌دهند. موفقیت بدافزاری مانند Plague می‌تواند منجر به سرقت داده‌های عظیم، قطع کامل خدمات و خسارات مالی هنگفت شود. استفاده این بدافزار از تکنیک‌های پیشرفته برای پنهان‌کاری نشان‌دهنده روند رو به رشد پیچیدگی تهدیدات علیه اکوسیستم لینوکس است. ماهیت این بدافزار به عنوان یک بک‌دور، بالاترین سطح دسترسی را به مهاجمان می‌دهد و عملاً کلیدهای سرور را در اختیار آن‌ها قرار می‌دهد که این امر آن را به یک تهدید بسیار جدی تبدیل می‌کند.