Netcrook Logo
👤 KERNELWATCHER
🗓️ 18 Apr 2026   🌍 Asia

«Nexus Team Unleashed»: متحوّر جديد من Mirai يختطف أجهزة إنترنت الأشياء في هجوم بوت نت بلا رحمة

مجموعة جريمة سيبرانية ماكرة تستغل ثغرة في أجهزة DVR لتجنيد آلاف الأجهزة الذكية في آلة حرب DDoS.

في العالم المعتم للجريمة السيبرانية، يظلّ بناة شبكات البوت نت في بحث دائم عن الاستغلال الكبير التالي. هذا الشهر، خرج ما يُسمّى «فريق Nexus» من العالم السفلي الرقمي بسلاح جديد: Nexcorium، وهو متحوّر من برمجية Mirai الخبيثة صُمّم للاستيلاء على أجهزة إنترنت الأشياء (IoT) الضعيفة وتجنيدها في جيش لا يكلّ يُستأجر عند الطلب.

حقائق سريعة

  • برمجية «Nexcorium» الجديدة تستهدف أجهزة TBK DVR-4104 وDVR-4216 غير المُرقّعة باستخدام CVE-2024-3721.
  • المهاجمون الذين تم تحديدهم باسم «فريق Nexus» يستغلون كلاً من أجهزة DVR وموجّهات Huawei لتوسيع شبكة البوت نت بسرعة.
  • Nexcorium تُصيب معماريات متعددة (ARM وMIPS وx86-64) وتنفّذ هجمات تخمين قسري لكلمات مرور Telnet الضعيفة.
  • تُضمّن البرمجية الخبيثة عدة تقنيات للاستمرارية والمراوغة والتكاثر الذاتي.
  • الهدف الرئيسي: إطلاق هجمات حجب الخدمة الموزعة (DDoS) واسعة النطاق في أي لحظة.

الحملة، التي كشفت عنها FortiGuard Labs، تسلّط الضوء على ثغرة حرجة - CVE-2024-3721 - تتربص في نماذج شائعة الاستخدام من أنظمة مراقبة TBK DVR. يتيح خلل حقن الأوامر هذا للمهاجمين تجاوز الحواجز الأمنية وزرع سكربت تنزيل يجلب حمولة Nexcorium. وبمجرد الدخول، تعرض البرمجية الخبيثة رسالة مقلقة: «nexuscorp has taken control.»

ما يميّز Nexcorium هو قابليتها للتكيّف وعدوانيتها. فقد جرى تجميع البرمجية لأنواع متعددة من الأجهزة، بما يضمن قدرتها على إصابة كل شيء من كاميرات المراقبة إلى موجّهات المنازل. بعد الاختراق، تبدأ Nexcorium فوراً بمسح الإنترنت بحثاً عن ضحايا جدد، مستفيدةً من استغلال ثانوي (CVE-2017-17215) لاختطاف موجّهات Huawei، وباستخدام قائمة مُشفّرة من كلمات المرور الافتراضية - مثل «admin» و«12345» - لتخمين الدخول قسراً إلى أنظمة أخرى مكشوفة عبر Telnet.

الاستمرارية في صميم تصميم Nexcorium. إذ تتغلغل البرمجية عميقاً عبر تعديل ملفات النظام وسكربتات الإقلاع، بل وحتى إنشاء خدمات خلفية مخفية. وتضمن آليات احتياطية متعددة إعادة تشغيل العملية الخبيثة إذا تعطلت، كما تضمن مهام cron المجدولة إعادة إطلاقها بانتظام. وبعد تثبيت وجودها، تمحو Nexcorium آثارها، ما يجعل الاكتشاف والمعالجة لعبة قط وفأر بالنسبة للمدافعين.

الهدف النهائي؟ تجميع شبكة بوت نت هائلة قادرة على شن هجمات DDoS مدمّرة. تتواصل Nexcorium مع خوادم أوامر بعيدة، جاهزة لإطلاق أكثر من اثنتي عشرة طريقة هجوم - من فيضانات UDP الكلاسيكية إلى هجمات متقدمة قائمة على SMTP - ضد الشبكات المستهدفة أو خوادم الويب أو التطبيقات.

بالنسبة للمؤسسات والأفراد، الدرس واضح: أجهزة إنترنت الأشياء ليست أكثر أماناً من آخر تحديث لها وأقوى كلمة مرور تُضبط عليها. ويحُث الخبراء على ترقيع جميع العتاد المتصل فوراً، وإلغاء بيانات الاعتماد الافتراضية، والمراقبة اليقظة لعلامات الاختراق.

ومع احتدام سباق التسلح بين مجرمي الإنترنت والمدافعين، تذكّرنا قضية Nexcorium بأن حتى أجهزتنا «الذكية» يمكن تحويلها إلى مرتزقة رقميين. في عصر إنترنت الأشياء، اليقظة ليست خياراً - بل ضرورة.

WIKICROOK

  • Mirai: Mirai هي برمجية خبيثة تختطف أجهزة إنترنت الأشياء، مُنشئةً شبكات بوت نت لهجمات DDoS واسعة النطاق. وتُعد متحوّراتها، مثل Aisuru، أكثر تقدماً.
  • Botnet: شبكة البوت نت هي شبكة من الأجهزة المصابة التي يتحكم بها مجرمو الإنترنت عن بُعد، وغالباً ما تُستخدم لشن هجمات واسعة النطاق أو سرقة بيانات حساسة.
  • DDoS (Distributed Denial: هجوم DDoS يُغرق خدمة على الإنترنت بحركة مرور من مصادر عديدة، ما يجعلها بطيئة أو غير متاحة للمستخدمين الحقيقيين.
  • Command Injection: حقن الأوامر هو ثغرة يخدع فيها المهاجمون الأنظمة لتنفيذ أوامر غير مصرح بها عبر إدخال مُدخلات خبيثة في حقول المستخدم أو الواجهات.
  • Persistence: الاستمرارية تتضمن تقنيات تستخدمها البرمجيات الخبيثة للبقاء بعد إعادة التشغيل والاختباء داخل الأنظمة، غالباً عبر محاكاة عمليات أو تحديثات شرعية.
Nexcorium IoT devices DDoS attacks
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news