كشف تقرير أمني أن جهات تهديد سيبراني غير معروفة تستغل ثغرة أمنية حرجة مضى عليها نحو عامين في منصة Apache ActiveMQ من أجل الوصول المستمر إلى أنظمة لينكس السحابية، وتنصيب برمجية خبيثة جديدة تحمل اسم DripDropper.
لكن المثير للانتباه أن المهاجمين، بعد استغلال الثغرة والحصول على موطئ قدم أولي داخل الأنظمة المستهدفة، يقومون بترقيع الثغرة بأنفسهم لمنع استغلالها من قبل خصوم آخرين، ولتعقيد مهمة اكتشاف وجودهم، وفق ما أوضحته شركة Red Canary في تقريرها.
تفاصيل الهجوم واستغلال الثغرة
الثغرة المستغلة تحمل الرمز CVE-2023-46604، وهي ثغرة تنفيذ أوامر عن بُعد مصنفة بالحد الأقصى من الخطورة (درجة CVSS: 10.0)، تم إصلاحها في أكتوبر 2023. استغلتها مجموعات متعددة سابقًا لنشر فيروسات الفدية مثل HelloKitty، وجذور خفية (Rootkits)، وبرمجيات البوت نت مثل GoTitan، إضافة إلى أداة Godzilla web shell.
الهجمات الأخيرة رصدت استخدام المهاجمين للثغرة بهدف تعديل إعدادات خدمة sshd لتمكين تسجيل الدخول كـ “root”، ومن ثم تنزيل أداة التحميل الجديدة DripDropper.
برمجية DripDropper وتقنيات التخفي
تأتي DripDropper في صورة ملف تنفيذي بلغة PyInstaller ELF، يتطلب كلمة مرور للتشغيل بهدف مقاومة التحليل الأمني. كما تتواصل مع حساب على Dropbox يسيطر عليه المهاجم، في أسلوب يبرز اعتماد الجهات الخبيثة بشكل متزايد على خدمات شرعية لإخفاء أنشطتها ضمن حركة الشبكة العادية.
تعمل DripDropper كأداة إنزال (Downloader) لملفين أساسيين:
-
الأول مسؤول عن تنفيذ أنشطة متنوعة مثل مراقبة العمليات أو الاتصال بـ Dropbox لتلقي تعليمات إضافية، مع ضمان الاستمرارية عبر تعديل ملفات cron في المسارات المختلفة للنظام.
-
الثاني يتصل هو الآخر بـ Dropbox لتلقي الأوامر، ويقوم بتغيير إعدادات ملفات SSH كآلية بديلة للحفاظ على الوصول.
وفي المرحلة الأخيرة، يقوم المهاجم بتحميل ترقيعات CVE-2023-46604 من مكتبة Apache Maven لإغلاق الثغرة بعد أن يكون قد أنشأ بالفعل وسائل بديلة للاستمرارية داخل النظام.
أبعاد تقنية واستراتيجية الهجمات
على الرغم من ندرة هذه التقنية، إلا أنها ليست جديدة بالكامل. فقد كشفت الوكالة الوطنية للأمن السيبراني في فرنسا ANSSI الشهر الماضي عن وسيط وصول أولي مرتبط بالصين استخدم النهج ذاته: استغلال الثغرة ثم ترقيعها لإخفاء الأثر ومنع المنافسين من استغلالها.
ويشكل هذا النهج تذكيرًا صارخًا بضرورة التزام المؤسسات بتطبيق التحديثات الأمنية في الوقت المناسب، وضبط الوصول إلى الخدمات الداخلية عبر تقييد عناوين IP الموثوقة أو الاعتماد على الشبكات الافتراضية الآمنة VPNs، إضافة إلى مراقبة سجلات الأنشطة في بيئات السحابة لرصد أي سلوك غير معتاد.
