من ثغرة منسية إلى إغلاق شامل: كيف حوّل القراصنة خللًا في ActiveMQ إلى فوضى فدية

اختراق على فصلين

بدأ الهجوم في منتصف فبراير 2024 مستهدفًا خادم Apache ActiveMQ مكشوفًا للإنترنت. ومن خلال استغلال ثغرة بروتوكول Java OpenWire، نفّذ المهاجمون تعليمات برمجية عن بُعد، محمّلين إعدادًا خبيثًا لـ Java Spring. وأطلق ذلك سلسلة تفاعلات: قام CertUtil بتنزيل مُمهِّد Metasploit، الذي سلّم السيطرة إلى خوادم القيادة والتحكم الخاصة بفاعلي التهديد.

وخلال 40 دقيقة، صعّد الخصوم الصلاحيات إلى SYSTEM، واستخرجوا بيانات الاعتماد من ذاكرة LSASS، وبدأوا مسح الشبكة باستخدام حركة SMB. وبحوزتهم حساب مسؤول نطاق، تحرّكوا جانبيًا، ناشرين حمولات Metasploit وجامعين المزيد من بيانات الاعتماد - وهذه المرة عثروا مصادفة على حساب خدمة مميّز كان حاسمًا للمراحل اللاحقة.

ثُبّتت الاستمرارية عبر تثبيت AnyDesk كخدمة بدء تلقائي وتمكين RDP من خلال نصوص مخصصة. ومُسحت سجلات الأحداث في محاولة لطمس آثارهم، لكن مضاد الفيروسات النشط أحبط بعض محاولات الحركة الجانبية. وعلى نحو لافت، ارتكب المهاجمون عدة أخطاء في صياغة الأوامر، ما يوحي إما بقلة خبرة في ويندوز أو بنص هجوم معيب. وبعد يوم واحد، فقدوا الوصول - لكن قصتهم كانت أبعد ما تكون عن النهاية.

العودة - وبرمجية الفدية

بعد ثمانية عشر يومًا، عاد المهاجمون أنفسهم، مستغلين الثغرة والبنية التحتية ذاتها من جديد. وهذه المرة، وباستخدام بيانات اعتماد مسروقة سابقًا، وصلوا إلى أنظمة رئيسية عبر RDP، ونشروا AnyDesk وأدوات مسح الشبكة. ثم جاء الفصل الرئيسي: برمجية الفدية LockBit، التي أُسقطت على خوادم النسخ الاحتياطي والملفات ونُفذت عبر جلسات RDP لمدة أربع ساعات. طابقت الملفات التنفيذية توقيع LockBit، لكن مذكرة الفدية خرجت عن المألوف - إذ طلبت من الضحايا التفاوض عبر تطبيق مراسلة خاص، لا عبر قنوات LockBit الرسمية.

من أول اختراق حتى التفجير، انتظر المهاجمون 19 يومًا. وبمجرد عودتهم، لم يكن أمام المدافعين سوى أقل من 90 دقيقة قبل بدء التشفير على نطاق واسع - في شهادة على خطورة تأخير الترقيع وتطور تكتيكات عصابات الفدية.

الخلاصة

هذا الحادث تذكير صارخ: الترقيع ليس مجرد مهمة تقنية، بل خط دفاع في المقدمة. ومع استعداد المهاجمين اليوم للانتظار والتعلّم والضرب مرتين، يجب على المؤسسات إغلاق نافذة الفرصة قبل أن يتحول تحديث واحد فائت إلى دعوة مفتوحة لكارثة.

WIKICROOK

• Apache ActiveMQ: Apache ActiveMQ هو وسيط رسائل مفتوح المصدر ينقل البيانات بأمان بين التطبيقات باستخدام بروتوكولات مراسلة متعددة ويدعم التكامل المؤسسي.
• CVE: CVE، أو «الثغرات والتعرّضات الشائعة»، هو نظام للتعرّف الفريد على عيوب الأمن السيبراني المعروفة علنًا في البرمجيات والأجهزة وتتبعها.
• Metasploit: Metasploit مجموعة أدوات مفتوحة المصدر شائعة تُمكّن خبراء الأمن من اختبار الثغرات واستغلالها في أنظمة الحاسوب لأغراض دفاعية.
• LSASS: LSASS عملية في ويندوز تدير سياسات الأمان وبيانات الاعتماد، ما يجعلها هدفًا شائعًا للمهاجمين الساعين لسرقة معلومات المستخدمين.
• RDP (بروتوكول سطح المكتب البعيد): RDP بروتوكول يتيح للمستخدمين الوصول عن بُعد إلى حاسوب آخر والتحكم به عبر الإنترنت، ويُستخدم غالبًا للدعم عن بُعد وإدارة الخوادم.