أفادت تقارير أمنية أن جهات تهديد استغلت ثغرة أمنية في خوادم Apache ActiveMQ المكشوفة على الإنترنت (CVE-2023-46604)، رغم أنها باتت مُرقّعة، لنشر برمجية الفدية LockBit. ووفقاً لـ The DFIR Report، تمكن المهاجمون من اختراق الخادم مرتين خلال فترة زمنية قصيرة، حيث عادوا بعد 18 يوماً من طردهم في المرة الأولى ليستعيدوا السيطرة ويطلقوا الهجوم مجدداً.
أدوات وتقنيات ما بعد الاختراق
بعد اختراق الخادم، استخدم المهاجمون أدوات مثل Metasploit وربما Meterpreter لتنفيذ أنشطة ما بعد الاستغلال، بما في ذلك:
- تصعيد الامتيازات للحصول على صلاحيات أعلى
- الوصول إلى ذاكرة عملية LSASS لاستخراج بيانات الاعتماد
- التحرك الجانبي داخل الشبكة للوصول إلى أنظمة إضافية
وعند استعادة الوصول بعد الطرد، انتقل المهاجمون بسرعة إلى نشر برمجية الفدية، مستفيدين من بيانات الاعتماد التي حصلوا عليها في الهجوم الأول، وقاموا باستخدام بروتوكول RDP لنشر LockBit عبر الشبكة.
دور بيانات الاعتماد المسروقة
الاعتماد على بيانات الدخول الشرعية المستخرجة من الهجوم السابق كان عاملاً أساسياً في نجاح الاختراق الثاني. هذا الأسلوب يعكس خطورة تسريب بيانات الاعتماد، إذ يمنح المهاجمين قدرة على العودة إلى الأنظمة حتى بعد محاولات الطرد أو الإصلاح، ويجعل من الصعب على فرق الأمن ضمان إغلاق الثغرة بشكل كامل.
طبيعة برمجية الفدية المستخدمة
تشير التقديرات إلى أن نسخة LockBit المستخدمة في هذه الهجمات قد تم تطويرها باستخدام LockBit builder المسرّب سابقاً، ما يتيح لمهاجمين جدد أو مجموعات مختلفة إنتاج نسخ مخصصة من البرمجية بسهولة. هذا الأمر يزيد من انتشار الهجمات ويعقّد جهود التصدي لها، حيث تتنوع النسخ وتتكيف مع بيئات مختلفة.
