یک کمپین جدید حمله سایبری نشان میدهد که مهاجمان با سوءاستفاده از سرورهای Jenkins با پیکربندی نادرست، موفق شدهاند زیرساختی برای ایجاد باتنت DDoS طراحی کنند و سرورهای بازی آنلاین را هدف قرار دهند. بررسیهای فنی نشان میدهد باتنت DDoS بهطور خاص برای ایجاد اختلال در زیرساختهای گیمینگ توسعه داده شده و حتی سرورهای مرتبط با اکوسیستم Valve را نیز در معرض حمله قرار داده است.
شناسایی کمپین باتنت DDoS توسط Darktrace
براساس اعلام شرکت امنیت سایبری Darktrace، این فعالیت مخرب در تاریخ 18 مارس 2026 از طریق شبکه هانیپات این شرکت با نام CloudyPots شناسایی شده است. مهاجمان در این کمپین تلاش کردند به یک سرور Jenkins با پیکربندی نادرست دسترسی پیدا کنند. هدف آنها ایجاد یک باتنت DDoS برای حمله به سرورهای گیمینگ بوده است.
طبق گزارش تیم Threat Research، این عملیات با هدف سرقت کد منبع انجام نشده و تمرکز اصلی آن، ایجاد زیرساخت حمله علیه سرویسهای گیمینگ بوده است.
تبدیل Jenkins به سکوی اجرای باتنت DDoS
مهاجمان در این حمله از endpoint موسوم به scriptText سوءاستفاده کردند؛ قابلیتی که به کاربران اجازه میدهد دستورات را مستقیماً به سرور Jenkins ارسال کنند.
مهاجمان با بهرهبرداری از این قابلیت موفق شدند یک اسکریپت Groovy اجرا کرده و از طریق آن به اجرای کد از راه دور (RCE) دست پیدا کنند.
محققان برای تحلیل این اسکریپت از ابزار CyberChef استفاده کردند؛ ابزاری که برای رمزگشایی و تحلیل دادههای پنهان به کار میرود. نتیجه این تحلیل نشان میدهد که مهاجمان قصد دارند سیستمهای ویندوز و لینوکس را به بخشی از زیرساخت باتنت خود تبدیل کنند.
آلودهسازی سیستمهای ویندوز و لینوکس
تحقیقات نشان میدهد که در سیستمهای ویندوز، اسکریپت مخرب فایلی اجرایی با نام w.exeرا از IP زیر دریافت میکند:
- 177.110.202
این فایل ابتدا در پوشه Tempبا نام update.dat ذخیره میشود و سپس به win_sys.exe تغییر نام میدهد. در ادامه، پورت TCP 5444 برای ارتباط با سرور فرماندهی و کنترل (C2) باز میشود.
در سیستمهای لینوکسی نیز مهاجمان از یک Bash one‑liner استفاده میکنند که فایل باینری bot_x64.exe را در دایرکتوری /tmp قرار میدهد و سیستم را به بخشی از باتنت DDoS تبدیل میکند.
زیرساخت فرماندهی و کنترل حمله
تحلیل ترافیک شبکه نشان میدهد تقریباً تمام ارتباطات این کمپین به یک IP واحد بازمیگردد. این آدرس متعلق به شرکت Webicoدر ویتنام و تحت برند Tino در شهر هوشیمین است.
برخلاف روشهای رایج اپراتورهای باتنت که از چندین سرور برای کاهش ریسک شناسایی استفاده میکنند، مهاجمان در این عملیات یک IP واحد را برای موارد زیر بهکار گرفتهاند:
- دسترسی اولیه
- استقرار بدافزار
- دریافت دستورات C2
این تصمیم نشان میدهد سادگی عملیاتی، بر مخفیکاری اولویت داشته است.
تکنیکهای پنهانسازی بدافزار در لینوکس
پس از آلوده شدن یک سیستم لینوکسی، بدافزار در ابتدا تلاش میکند بیصدا و مخفیانه فعالیت کند تا شناسایی نشود.
بدافزار برای این منظور از یک متغیر محیطی (environment variable) به نام dontKillMe استفاده میکند تا Jenkins آن را به دلیل اجرای طولانی متوقف نکند.
در مرحله بعد:
- فایل اصلی بدافزار حذف میشود.
- پردازه خود را به نامهایی مشابه پردازههای سیستمی تغییر میدهد.
نمونههایی مانند ksoftirqd/0 و kworker باعث میشوند بدافزار در میان پردازههای عادی کرنل لینوکس پنهان بماند.
هدف اصلی باتنت DDoS؛ سرورهای گیمینگ Valve
هدف نهایی این باتنت DDoS از کار انداختن سرورهایی است که از Valve Source Engine استفاده میکنند. این موتور زیرساخت بسیاری از بازیهای محبوب را تشکیل میدهد، از جمله:
- Counter‑Strike
- Team Fortress 2
یکی از روشهای حمله مورد استفاده در این کمپین attack_dayz نام دارد. در این روش، باتنت یک Source Engine Query ارسال میکند تا سرور هدف مجبور شود حجم بسیار زیادی داده پاسخ دهد. در نهایت این فشار باعث میشود سرور از پاسخدهی خارج گردد.
حالتهای دیگر حمله در باتنت DDoS
این بدافزار علاوه بر حمله اصلی، یک حالت دیگر با نام attack_special نیز دارد که برای هدف قرار دادن پورتهای خاص طراحی شده است، از جمله:
- پورت 27015 (سرورهای گیمینگ)
- پورت 53 (DNS)
- پورت 123 (NTP)
این قابلیتها نشان میدهد مهاجمان قصد دارند انواع مختلفی از حملات DDoS را علیه زیرساختهای گیمینگ اجرا کنند.
چرا یک پیکربندی نادرست میتواند فاجعهبار باشد
این کمپین بهوضوح نشان میدهد که حتی یک پیکربندی نادرست ساده در Jenkins میتواند به سکوی راهاندازی یک باتنت DDoS تبدیل شود. در چنین شرایطی، یک سرور مدیریتی معمولی قادر است ناخواسته در حملهای مشارکت کند که هزاران کاربر و گیمر را از دسترسی به سرویسهای آنلاین محروم میکند.
محققان Darktrace هشدار دادهاند که استفاده از تکنیکهای خاص DDoS برای بازیها نشان میدهد صنعت گیمینگ همچنان هدف جذابی برای مهاجمان سایبری است و اپراتورهای سرور باید اقدامات دفاعی مؤثر را در اولویت قرار دهند.
