بازگشت بات‌نت خطرناک H2Miner؛ تهدیدی جدی برای کاربران ویندوز، لینوکس و سرورهای ابری

بازگشت بات‌نت خطرناک H2Miner؛ تهدیدی جدی برای کاربران ویندوز، لینوکس و سرورهای ابری
0

بازگشت بات‌نت خطرناک H2Miner؛ تهدیدی جدی برای کاربران ویندوز، لینوکس و سرورهای ابری

به گزارش مالی3، بات‌نت مخرب H2Miner بار دیگر فعال شده و این‌بار نسخه‌ای جدید از آن رایانه‌های مجهز به ویندوز، سرورهای لینوکس و زیرساخت‌های ابری را هدف قرار داده است. این بدافزار به‌صورت پنهانی از توان پردازشی سیستم‌های آلوده برای استخراج ارز دیجیتال مونرو (XMR) استفاده می‌کند و در مواردی حتی باج‌افزار نیز نصب می‌کند.

استفاده از آسیب‌پذیری‌های رایج

مهاجمان با سوءاستفاده از آسیب‌پذیری‌های شناخته‌شده‌ای مانند Log4Shell و Apache ActiveMQ، دسترسی اولیه را به سیستم‌ها به دست می‌آورند. سپس با نصب ابزار استخراج XMRIG که ذاتاً قانونی است، فرآیند ماینینگ را در پس‌زمینه آغاز می‌کنند – بدون اطلاع یا رضایت کاربر.

توقف آنتی‌ویروس و حذف ردپا

نسخه جدید H2Miner با استفاده از اسکریپت‌هایی هوشمند، نرم‌افزارهای امنیتی را غیرفعال کرده و سایر ماینرهای فعال در سیستم را متوقف می‌سازد. این بدافزار در لینوکس از طریق زمان‌بندی کرون (Cron) و در ویندوز با ایجاد کار زمان‌بندی‌شده (Scheduled Task) هر ۱۰ تا ۱۵ دقیقه، حضور خود را حفظ می‌کند و ردپای فعالیتش را پاک می‌نماید.

ورود باج‌افزار LCRYPT0RX

در ادامه حمله، در برخی سیستم‌ها باج‌افزاری به نام LCRYPT0RX نیز فعال می‌شود که با بازنویسی Master Boot Record، مانع از راه‌اندازی سیستم می‌شود. این باج‌افزار همچنین تنظیمات پایداری جدیدی ایجاد کرده و به سختی قابل حذف است.

گسترش سریع از طریق زیرساخت‌های ابری و USB

این بدافزار با استفاده از سرورهای ابری ناپایدار و درایوهای USB در میان سیستم‌ها پخش می‌شود و حتی فرآیندهای آنتی‌ویروس را یکی‌یکی حذف می‌کند تا راه نفوذ خود را باز نگه دارد.

هشدار به کاربران کریپتو و سرورهای خودمیزبان

اگرچه این حملات مستقیماً کیف پول‌های رمزارز را هدف قرار نمی‌دهند، اما از منابع سیستم کاربران برای استخراج مخفیانه مونرو بهره‌ می‌برند. این موضوع به‌ویژه برای ماینرهای شخصی، گره‌های خودمیزبان و ارائه‌دهندگان خدمات VPS که نظارت کافی ندارند، نگران‌کننده است.

کاربرانی که با داغ شدن بیش‌ از حد یا کندی مشکوک سیستم مواجه می‌شوند، باید به دنبال فرآیندهایی مانند sysupdate.exe باشند و بررسی‌های امنیتی انجام دهند.

حذف کامل تنها راه مقابله

کارشناسان توصیه می‌کنند برای حذف کامل H2Miner، تمام اسکریپت‌ها، ورودی‌های رجیستری، Cron jobها و Taskهای زمان‌بندی‌شده باید به‌صورت دستی حذف شوند. در غیر این صورت، حتی یک فایل مخفی کافی‌ست تا بدافزار دوباره فعال شود.

اشتراک گذاری

Profile Picture
نوشته شده توسط:

لیلا تاجیک

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *