Ένα botnet DDoS που ανακαλύφθηκε πρόσφατα εκμεταλλεύεται τους εκτεθειμένους διακομιστές Jenkins για να εξαπολύσει ισχυρές επιθέσεις κατά της υποδομής παιχνιδιών Valve Source Engine.
Οι ερευνητές ασφαλείας στο Darktrace εντόπισαν την απειλή αφού την κατέγραψαν σε ένα από τα συστήματα honeypot τους.
Αυτό που κάνει αυτό το κακόβουλο λογισμικό να ξεχωρίζει είναι η συγκεκριμένη στόχευση των διακομιστών βιντεοπαιχνιδιών, σε συνδυασμό με μια έξυπνη διαδικασία μόλυνσης που λειτουργεί σε πολλά λειτουργικά συστήματα.
Το Jenkins είναι ένα ευρέως χρησιμοποιούμενο εργαλείο συνεχούς ενοποίησης που βοηθά τους προγραμματιστές λογισμικού να εκτελούν δοκιμές και να δημιουργούν αυτόματα κώδικα.
Όταν δεν έχει ρυθμιστεί σωστά, μπορεί να αποκαλύψει ένα τελικό σημείο εκτέλεσης απομακρυσμένου κώδικα που καταχρώνται οι εισβολείς.
Σε αυτήν την καμπάνια, οι εισβολείς βρήκαν ένα παράδειγμα Jenkins με αδύναμο κωδικό πρόσβασης και χρησιμοποίησαν αυτήν την ανοιχτή πόρτα για να παραδώσουν κακόβουλο κώδικα στο μηχάνημα-στόχο.
Η μέθοδος επίθεσης είναι απλή αλλά αποτελεσματική, καθώς πολλοί οργανισμοί εξακολουθούν να αφήνουν το Jenkins προσβάσιμο χωρίς ισχυρό έλεγχο ταυτότητας.
Οι αναλυτές της Darktrace εντόπισαν για πρώτη φορά αυτήν την απειλή στις 18 Μαρτίου 2026, όταν ένας παράγοντας απειλής στόχευσε ένα honeypot Jenkins που λειτουργεί από το παγκόσμιο δίκτυο honeypot της εταιρείας γνωστό ως “CloudyPots”.
Περαιτέρω έρευνα από την ομάδα της Darktrace’s Threat Research επιβεβαίωσε ότι το botnet κατασκευάστηκε ειδικά για να επιτίθεται σε διακομιστές παιχνιδιών Valve Source Engine, συμπεριλαμβανομένων αυτών που τρέχουν το Counter-Strike και το Team Fortress 2.
Τα ευρήματα αντικατοπτρίζουν ένα ευρύτερο μοτίβο όπου οι επιτιθέμενοι στον κυβερνοχώρο στοχεύουν ολοένα και περισσότερο τον τομέα των τυχερών παιχνιδιών, τον οποίο η Cloudflare έχει αναγνωρίσει ως την τέταρτη πιο στοχευμένη βιομηχανία παγκοσμίως.
Μόλις παραβιαστεί ένας διακομιστής Jenkins, το κακόβουλο λογισμικό απορρίπτει ωφέλιμα φορτία για συστήματα Windows και Linux. Στα Windows, γίνεται λήψη ενός ωφέλιμου φορτίου από μια απομακρυσμένη IP και αποθηκεύεται κάτω από ένα όνομα αρχείου που είναι μεταμφιεσμένο ως αρχείο ενημέρωσης συστήματος.
Στο Linux, μια εντολή Bash τραβά το ωφέλιμο φορτίο στον κατάλογο /tmp και το εκτελεί. Η IP που χρησιμοποιείται τόσο για την παράδοση όσο και για την επικοινωνία εντολών και ελέγχου ανήκει σε βιετναμέζικο πάροχο φιλοξενίας, κάτι που είναι ασυνήθιστο καθώς οι περισσότερες οικογένειες κακόβουλου λογισμικού διατηρούν την παράδοση και την υποδομή C2 ξεχωριστά για καλύτερη ανθεκτικότητα.
Το botnet υποστηρίζει πολλαπλές μεθόδους DDoS, συμπεριλαμβανομένων των πλημμυρών UDP, των επιθέσεων push TCP και των πλημμυρών αιτημάτων HTTP. Μια τεχνική που ονομάζεται “attack_dayz” στέλνει πακέτα TSource Engine Query, τα οποία αναγκάζουν τους διακομιστές του Valve Source Engine να επιστρέφουν μεγάλους όγκους δεδομένων.
Πλημμυρίζοντας έναν στόχο με μικρά αιτήματα και ενεργοποιώντας μεγάλες αποκρίσεις, ένας εισβολέας μπορεί να εξαντλήσει τους πόρους του διακομιστή χρησιμοποιώντας σχετικά μικρό εύρος ζώνης, καθιστώντας τον μια επικίνδυνη επίθεση ενίσχυσης για χειριστές διακομιστών παιχνιδιών.
Μηχανισμός μόλυνσης και επιμονή
Μετά την προσγείωση σε ένα σύστημα Linux, το κακόβουλο λογισμικό λειτουργεί αμέσως για να παραμείνει κρυφό και να αντισταθεί στην αφαίρεση. Ορίζει τις μεταβλητές περιβάλλοντος Jenkins σε “dontKillMe”, εξαπατώντας τον Jenkins να αφήσει τη διαδικασία να τρέξει πέρα από το συνηθισμένο χρονικό όριο.
Χωρίς αυτό, ο Jenkins θα έκλεινε αυτόματα την κακόβουλη διαδικασία. Αυτό το μικρό αλλά αποτελεσματικό βήμα επιτρέπει στο κακόβουλο λογισμικό να επιβιώσει σε έναν παραβιασμένο διακομιστή χωρίς άμεση ανίχνευση.
Στη συνέχεια, το κακόβουλο λογισμικό διαγράφει το αρχικό του εκτελέσιμο αρχείο και μετονομάζεται ώστε να μοιάζει με μια νόμιμη διαδικασία πυρήνα Linux, είτε “ksoftirqd/0” είτε “kworker”, που βρίσκονται και τα δύο σε τυπικές εγκαταστάσεις Linux.
Χρησιμοποιεί μια μέθοδο double fork για να εκτελείται αθόρυβα ως δαίμονας φόντου και ανακατευθύνει όλα τα κανάλια εισόδου, εξόδου και σφαλμάτων στο /dev/null, διασφαλίζοντας ότι δεν υπάρχουν αρχεία καταγραφής.
Επίσης, παρεμποδίζει τα σήματα τερματισμού όπως το SIGTERM, με αποτέλεσμα να αγνοούνται και να είναι πιο δύσκολο να σταματήσει η διαδικασία μέσω κανονικών εντολών.
.webp)
Μόλις ενεργοποιηθεί, το κακόβουλο λογισμικό συνδέεται με το Ο διακομιστής C2, αναφέρει την αρχιτεκτονική του συστήματος και εισέρχεται σε έναν βρόχο που περιμένει οδηγίες επίθεσης.
Υπάρχουν τρεις εντολές βοηθητικού προγράμματος: «PING» για ελέγχους διατήρησης, «!stop» για έξοδο και «!update» για να τραβήξετε μια νεότερη έκδοση από τον διακομιστή C2 και να κάνετε επανεκκίνηση.
Οι χειριστές διακομιστών που εκτελούν διακομιστές παιχνιδιών Valve Source Engine θα πρέπει να ενεργήσουν τώρα για να μειώσουν την έκθεση.
Κατάργηση της δημόσιας πρόσβασης στα τελικά σημεία Jenkins, επιβολή ισχυρού ελέγχου ταυτότητας και παρακολούθηση Η εξερχόμενη κίνηση για ασυνήθιστες συνδέσεις είναι απαραίτητα πρώτα βήματα.
Συνιστάται επίσης ο αποκλεισμός της θύρας TCP 5444 σε επίπεδο τείχους προστασίας, καθώς το ωφέλιμο φορτίο χρησιμοποιεί αυτήν τη θύρα για επικοινωνία C2.
Οι οργανισμοί θα πρέπει να αποκλείσουν την IP 103 του επιβεβαιωμένου εισβολέα[.]177.110.202 στην περίμετρο του δικτύου και αναθεωρήστε όλους τους δημοσιευμένους δείκτες συμβιβασμού χωρίς καθυστέρηση.
VIA: cybersecuritynews.com
