تمكنت جهات فاعلة خبيثة من استغلال ثغرة أمنية حرجة في Apache ActiveMQ، مما أدى إلى نشر برنامج الفدية LockBit بشكل كامل عبر شبكة إحدى الشركات. وتمثلت الثغرة، المعرفة بالرقم CVE-2023-46604، في تنفيذ تعليمات برمجية عن بعد في وسيط الرسائل ActiveMQ، والتي استخدمها المهاجمون لاختراق خادم يعمل بنظام ويندوز وإصابة الأنظمة بفيروس التشفير عبر بروتوكول سطح المكتب البعيد (RDP).
بدأت الهجمات في منتصف فبراير 2024، حيث أرسل أحد المهاجمين أمراً بصيغة OpenWire معدة خصيصاً إلى خادم Apache ActiveMQ مكشوف على الإنترنت. تسبب هذا الهجوم في تحميل الخادم لملف تهيئة Java Spring XML عن بعد، والذي وجه الجهاز المخترق لتنزيل برنامج Metasploit Stager باستخدام أداة CertUtil المدمجة في نظام ويندوز.
بمجرد تفعيل البرنامج، قام بإنشاء قناة اتصال سرية مع خادم يتحكم به المهاجم. وفي غضون 40 دقيقة فقط من تحقيق الوصول الأولي، نجح المهاجم في الارتقاء بصلاحياته إلى مستوى النظام (SYSTEM) وبدأ في استخلاص بيانات الاعتماد من ذاكرة عملية LSASS على الجهاز المستهدف.
استغلال ثغرة Apache ActiveMQ يعزز هجمات برامج الفدية
لاحظ محللو تقرير DFIR أن المهاجمين تم إخراجهم من البيئة المتأثرة في اليوم الثاني من الاختراق. ومع ذلك، لم يتم إصلاح الخادم الذي يحتوي على ثغرة ActiveMQ، مما أبقى مسار الاستغلال مفتوحاً. وبعد 18 يوماً من الاختراق الأولي، عاد المهاجمون مرة أخرى باستخدام نفس تقنية CVE-2023-46604، مع تغيير أسماء الملفات التي تم تنزيلها بعد الاستغلال.
وقد سهّل العودة إلى الشبكة بشكل كبير وجود وسائط خدمة ذات صلاحيات عالية تم سرقة بيانات اعتمادها بهدوء من ذاكرة LSASS خلال الاختراق الأول، مما منح المهاجمين طريقاً مباشراً وجاهزاً للعودة إلى الشبكة.
استغلال بيانات الاعتماد للهجمات الجانبية
بعد الحصول على صلاحيات النظام، قامت عملية Metasploit بالوصول إلى ذاكرة عملية LSASS على أربعة أجهزة منفصلة خلال الجولة الأولى من الاختراق. وسجلت سجلات Sysmon قيمة “GrantedAccess” 0x1010، والتي تتيح الوصول لقراءة الذاكرة الافتراضية. وكان أحد الأجهزة المستهدفة يعمل عليه تطبيق إنتاجي مرتبط بحساب خدمة ذي صلاحيات، وأصبح هذا الحساب الوحيد هو الجسر الذي استخدمه المهاجمون للعودة إلى الشبكة بعد 18 يوماً.
عند عودة المهاجمين في اليوم الثامن عشر، استخدموا حساب الخدمة المسروق لإنشاء خدمات عن بعد وتشغيل حمولات Metasploit عبر وحدات التحكم في النطاق وخوادم متعددة. تم إخفاء أوامر PowerShell التي تحمل هذه الحمولات من خلال تجميع السلاسل، وتشفير Base64، وضغط gzip.
بعد فك التشفير، قامت Shellcode بتخصيص مناطق الذاكرة باستخدام VirtualAlloc، وتغيير سمة الحماية الخاصة بها إلى قابلة للتنفيذ باستخدام VirtualProtect، ثم إنشاء خيط لتنفيذ الحمولة المحقونة في الذاكرة. هذه الطريقة تستخدم بشكل شائع لتجنب اكتشافها من قبل أنظمة الكشف المستندة إلى التوقيعات.
في الأجهزة التي كان برنامج Microsoft Defender نشطاً فيها، تم اكتشاف هذا النشاط وحظره؛ أما الأنظمة غير المحمية فقد تم اختراقها بالكامل. للحفاظ على موطئ قدم وتغطية آثارهم، قام المهاجمون بتثبيت AnyDesk بهدوء على الجهاز الرئيسي، وضبطه كخدمة تعمل تلقائياً. وتم فتح منفذ جدار الحماية 3389 للسماح باتصالات RDP، ثم تمت إزالته بعد حوالي ست دقائق من التنفيذ.
مؤشرات الاختراق (IOCs)
| مؤشر | النوع | الوصف |
|---|---|---|
| 166.62.100[.]52 | عنوان IP | خادم القيادة والتحكم ومصدر تسجيل دخول AnyDesk |
| C8646CFB574FF2C6F183C3C3951BF6B2C6CF16FF8A5E949A118BE27F15962FAE | SHA-256 | LB3_pass.exe – ملف تنفيذي لبرنامج LockBit |
| 8CEEE89550C521BA43F59D24BA53A22A3B69EAD0FCE118508D0A87A383D6A7B6 | SHA-256 | LB3.exe – ملف تنفيذي لبرنامج LockBit |
| 87BFB05057F215659CC801750118900145F8A22FA93AC4C6E1BFD81AA98B0A55 | SHA-256 | netscan.exe – أداة فحص الشبكة |
| 722FFF8F38197D1449DF500AE31A95BB34A6DDABA56834B13EAAFF2B0F9F1C8B | SHA-256 | advanced_ip_scanner.exe – تمويه أداة فحص IP |
| D9C888BDE81F19F3DC4F050D184FFA6470F1A93A2B3B10B3CC2D246574F56841 | SHA-256 | rdp.bat – ملف دفعي لتهيئة RDP |
| 1148037084 | معرف عميل AnyDesk | معرف عميل AnyDesk الخاص بالمهاجم |
ينبغي للمؤسسات على الفور تحديث Apache ActiveMQ لمعالجة CVE-2023-46604، وتطبيق حماية LSASS عبر Credential Guard، ومراقبة نشاط مسح سجلات الأحداث، وتقييد تثبيت أدوات الوصول عن بعد غير المصرح بها، وإعادة تعيين جميع بيانات الاعتماد بعد أي اختراق مشتبه به لمنع العودة عبر الحسابات المسروقة.