Cryptomining / Network Security

Chaos Botnet كتطور: فيرسيون جديدة كتستهدف البنية التحتية السحابية (Cloud) بـقدرات SOCKS Proxy

New Chaos Variant Targets Misconfigured Cloud Deployments, Adds SOCKS Proxy

09 أبريل 2026

Chaos Botnet كتطور: فيرسيون جديدة كتستهدف البنية التحتية السحابية (Cloud) بـقدرات SOCKS Proxy

TL;DR (خلاصة الموضوع)

المالوير الشهير "Chaos" طور راسو باش يستهدف سيسطيمات الكلاود (Cloud) اللي ما مأمنينش مزيان، من بعد ما كان كيركز غير على الرواتر (Routers). واحد الفيرسيون جديدة كشفتها Darktrace فيها مودول ديال SOCKS proxy، هادشي كيبين بلي الـ hackers بغاو يبداو يربحو الفلوس من هاد السيرفرات اللي تبيراطاو عبر كرا those proxy services، وفنفس الوقت حيدو الطرق القديمة ديال التنقال عبر SSH.

مقدمة (Introduction)

الخطر اللي كيهدد البنية التحتية ديال الكلاود زاد كبر مع ظهور تطور جديد في Chaos malware — هاد الـ botnet اللي كيخدم في بزاف ديال الأنظمة وبان أول مرة في أواخر 2022. في اللول كان معروف بلي كيستهدف الأجهزة الطرفية (edge devices) والرواتر، ولكن التقارير الأخيرة كتقول بلي Chaos دابا ولا كيقلب بجهد على بيئات الكلاود اللي فيها أخطاء في الإعدادات (misconfigured)، وبالضبط سيرفيسات بحال Apache Hadoop.

على حساب تقرير جديد من Darktrace، هاد التطور كيمثل تحول استراتيجي في كيفاش هاد الـ botnet كيكبّر الشبكة ديالو وكيفاش كيطمع يربح الفلوس من الضحايا.

من الرواتر للكلاود (From Routers to the Cloud)

أول مرة تكتشف Chaos كان من طرف Lumen Black Lotus Labs في شتنبر 2022. في البدية، توصف بلي هو تطور ديال مالوير سميتو Kaiji، اللي معروف باستهداف Docker. وخا الفيرسيونات القديمة ديال Chaos كانت متخصصة في Windows و Linux باش تدير هجمات DDoS وتعدين العملات الرقمية (crypto mining)، الفيرسيون اللخرة اللي شافت Darktrace كتبين تركيز جديد ومطور.

في واحد الهجمة مؤخرة حصلاتها الـ honeypots ديال Darktrace، الـ hackers استهدفو واحد الـ Hadoop instance ما مأمنش مزيان. مراحل الهجمة كانت بحال هكا:

الدخول الأولي (Initial Access): صيفطو طلب HTTP للسيرفر ديال Hadoop باش يكرييو appliction جديدة.
تحميل الفيروس (Payload Delivery): هاد الـ application كان فيها أوامر shell باش تيليشارجي Chaos agent binary من واحد الدومين خايب سميتو pan.tenire[.]com.
التثبيت والتنفيذ (Persistence & Execution): الهاكرز بدلو الصلاحيات ديال الملف (chmod 777) باش يضمنو بلي غادي يخدم، ومن بعد مسحو الـ binary من الديسك باش ما يخليوش الأثر للفريق اللي كيدير التحقيق الجنائي الرقمي (forensics).

تطوير تقني: زيادة SOCKS Proxy

هاد الـ 64-bit ELF binary اللي لقاو في الحملات الأخيرة ماشي غير كود قديم تعاود، بل هو نسخة مهيكلة من جديد ديال Chaos.

شنو الجديد:

ميزة SOCKS Proxy: هادي هي أهم زيادة، هاد المودول كيخلي الهاكرز يدوزو الـ traffic ديالهم الخايب عبر السيرفر اللي تبيراطا. هادشي كيغطي المصدر ديال الهجمات الجاية وكيصعّب الخدمة على الناس اللي كيدافعو على السيكوريتي.
كود محسن (Refactored Code): بزاف ديال الوظائف اللي كانت مأخوذة من Kaiji malware تعاودات كتابتها بطريقة أحسن.

شنو اللي تحيّد:

حيدو طرق التنقال (Removed Propagation): اللي كيثير الانتباه هو بلي المطورين حيدو الوظائف اللي كانت كتخلي المالوير ينتشر عبر SSH brute-forcing أو استغلال ثغرات خاصة بالرواتر.

مول الفعلة وعلاقتو بـكروپات معروفين

وخا الهوية ديال اللي مورا هادشي دابا مازال ما مأكداش 100%، الباحثين لقاو حروف ديال الشينوية واستعمال بنية تحتية كاينة في الشينوا.

واللي غريب هو بلي هاد الدومين (pan.tenire[.]com) عندو سوابق. كان مرتبط قبل بالـ cybercrime group الشينوية Silver Fox فاش داروا "Operation Silk Lure" في أكتوبر 2025 (على حساب ما وثقاتو Seqrite Labs). في ديك الوقيتة، ديك البنية التحتية كانت كتستعمل باش تنشر ValleyRAT malware عبر الـ phishing.

التحول لـ Proxy-as-a-Service

زيادة هاد القدرات ديال الـ proxy كيشير لواحد التوجه كبير في العالم ديال الـ botnets. الهاكرز ما بقاش كافيهم غير يديرو DDoS بالفلوس ولا ينقبو العملات. دابا، فاش كيزيدو SOCKS proxies، هاد الكروبات بحال Chaos و AISURU كيوليو يبيعو لآكسي لهاد السيرفرات (اللي كيوليو بحال الـ "zombies") لواحدين خرين يديرو بيهم جرائم إلكترونية، وهكا كيوليو بحال طبقة ديال الخصوصية لـهاكرز خرين.

خلاصة (Conclusion)

التطور ديال Chaos كيبين بلي الـ botnets القدام ماشي جامدين، بل كيتحسنو ديما باش يضربو البلايص اللي فيهم الربح بزاف: الكلاود. وكيف ذكرات Darktrace، هاد التحول من DDoS لخدمات الـ proxy كيبين خطر جديد، فين البنية التحتية ديال الشركات والمنظمات كتولي هي نيتها سلاح كيخبي الهوية ديال المجرمين الإلكترونيين في العالم كامل.

المصدر: The Hacker News - New Chaos Variant Targets Misconfigured Cloud Deployments, Adds SOCKS Proxy

Cryptomining / Network Security

Chaos Botnet كتطور: فيرسيون جديدة كتستهدف البنية التحتية السحابية (Cloud) بـقدرات SOCKS Proxy

New Chaos Variant Targets Misconfigured Cloud Deployments, Adds SOCKS Proxy

09 أبريل 2026

حمّل المانغا PDF اقرا الأصل

Chaos Botnet كتطور: فيرسيون جديدة كتستهدف البنية التحتية السحابية (Cloud) بـقدرات SOCKS Proxy

TL;DR (خلاصة الموضوع)

مقدمة (Introduction)

من الرواتر للكلاود (From Routers to the Cloud)

الدخول الأولي (Initial Access): صيفطو طلب HTTP للسيرفر ديال Hadoop باش يكرييو appliction جديدة.
تحميل الفيروس (Payload Delivery): هاد الـ application كان فيها أوامر shell باش تيليشارجي Chaos agent binary من واحد الدومين خايب سميتو pan.tenire[.]com.
التثبيت والتنفيذ (Persistence & Execution): الهاكرز بدلو الصلاحيات ديال الملف (chmod 777) باش يضمنو بلي غادي يخدم، ومن بعد مسحو الـ binary من الديسك باش ما يخليوش الأثر للفريق اللي كيدير التحقيق الجنائي الرقمي (forensics).

تطوير تقني: زيادة SOCKS Proxy

هاد الـ 64-bit ELF binary اللي لقاو في الحملات الأخيرة ماشي غير كود قديم تعاود، بل هو نسخة مهيكلة من جديد ديال Chaos.

شنو الجديد:

ميزة SOCKS Proxy: هادي هي أهم زيادة، هاد المودول كيخلي الهاكرز يدوزو الـ traffic ديالهم الخايب عبر السيرفر اللي تبيراطا. هادشي كيغطي المصدر ديال الهجمات الجاية وكيصعّب الخدمة على الناس اللي كيدافعو على السيكوريتي.
كود محسن (Refactored Code): بزاف ديال الوظائف اللي كانت مأخوذة من Kaiji malware تعاودات كتابتها بطريقة أحسن.

شنو اللي تحيّد:

حيدو طرق التنقال (Removed Propagation): اللي كيثير الانتباه هو بلي المطورين حيدو الوظائف اللي كانت كتخلي المالوير ينتشر عبر SSH brute-forcing أو استغلال ثغرات خاصة بالرواتر.

مول الفعلة وعلاقتو بـكروپات معروفين

التحول لـ Proxy-as-a-Service

خلاصة (Conclusion)

المصدر: The Hacker News - New Chaos Variant Targets Misconfigured Cloud Deployments, Adds SOCKS Proxy