رُصدت حملة جديدة تنفذها مجموعة التهديد Kinsing، المعروفة بهجماتها الواسعة في مجال تعدين العملات الرقمية الخبيث (Cryptojacking)، إذ تستغل هذه المرة الثغرة الأمنية CVE-2023-46604 في خادم Apache ActiveMQ لتصعيد هجماتها ضد أنظمة Linux وWindows على حدّ سواء.
استغلال مستمر لثغرة قديمة
أوضحت شركة الأمن السيبراني الكورية الجنوبية AhnLab أن المجموعة أعادت استغلال الثغرة المعروفة منذ عام 2023، والتي تم الكشف عنها علنًا عقب اكتشافها، مشيرة إلى أن استغلالها يمنح المهاجمين قدرة على تنفيذ أوامر عن بُعد داخل خوادم ActiveMQ غير المحدثة.
وكانت هذه الثغرة قد أثارت في وقتها موجة واسعة من الهجمات، نظرًا لانتشار استخدام ActiveMQ في بيئات المؤسسات لتبادل الرسائل بين الأنظمة.
نشر برمجيات خبيثة متعددة المراحل
التحليل الجديد لـ AhnLab كشف أن الهجمات الأخيرة تضمنت نشر باب خلفي جديد مكتوب بإطار .NET يُعرف باسم “Sharpire”، يُستخدم بالتوازي مع أدوات أخرى مثل XMRig الخاصة بتعدين عملة Monero، وStager التي تمهد لتنزيل الحمولة التالية.
وأشارت الشركة إلى أن “Sharpire” يدعم تكاملًا مباشرًا مع منصة الهجوم PowerShell Empire، مما يتيح للمهاجمين تنفيذ أوامر خبيثة والسيطرة الكاملة على الأنظمة المصابة.
أدوات اختراق متقدمة لفرض السيطرة
خلال مراحل السيطرة على الأنظمة المخترقة، لاحظ الباحثون أن المجموعة تستخدم أدوات متقدمة مثل Cobalt Strike وMeterpreter وPowerShell Empire، وهي مكونات شائعة في الحملات الاحترافية التي تستهدف بيئات الخوادم عالية القيمة.
ويعكس هذا الدمج بين أدوات الاختراق والتعدين محاولة من Kinsing لتحقيق مكاسب مالية مباشرة عبر استغلال موارد الأجهزة المخترقة لتوليد العملات الرقمية، مع الحفاظ على وجود دائم داخل الشبكات المصابة.
تحذير من استهداف الأنظمة غير المحدثة
حذّر الخبراء من أن استغلال الثغرة CVE-2023-46604 لا يزال قائمًا حتى الآن ضد الأنظمة التي لم تطبّق تصحيحات الأمان الخاصة بـ Apache ActiveMQ.
ودعا التقرير المؤسسات إلى تحديث الخوادم فورًا، ومراجعة السجلات الشبكية لرصد أي مؤشرات اختراق، خاصة تلك التي تظهر نشاطات مرتبطة بعمليات تعدين أو اتصالات بأدوات مثل Cobalt Strike أو PowerShell Empire.
