Главная страница » Индикаторы компрометации
0
21 час
Индикаторы компрометации

Уязвимость Apache ActiveMQ приводит к повторному взлому и развертыванию программ-вымогателей LockBit

ransomware

В сфере информационной безопасности инциденты, когда злоумышленники возвращаются в уже очищенную среду, являются одними из наиболее тревожных. Они демонстрируют не только настойчивость угроз, но и системные проблемы в процессах восстановления и «залечивания» уязвимостей. Недавний случай, детально разобранный экспертами The DFIR Report, служит наглядным уроком того, как эксплуатация одной критической уязвимости может привести к полномасштабной атаке с использованием программ-вымогателей, даже после временной нейтрализации угрозы.

Описание

Ключевые факты инцидента

В середине февраля 2024 года злоумышленник осуществил первоначальный доступ к корпоративной сети через интернет-обращенный сервер Apache ActiveMQ. Входной точкой стала уязвимость CVE-2023-46604, позволяющая выполнить удаленный код (Remote Code Execution, RCE). Используя технику, описанную в публичных доказательствах концепции (Proof of Concept, PoC), атакующий отправил специально сформированный запрос OpenWire, который заставил сервер загрузить и выполнить вредоносный XML-файл конфигурации Spring Bean. Этот файл содержал команду для загрузки первой стадии полезной нагрузки с помощью утилиты Windows CertUtil.

Загруженный исполняемый файл оказался стагером фреймворка Metasploit, который установил обратную связь с командным сервером (Command and Control, C2) злоумышленника. В течение часа после взлома атакующий эскалировал привилегии до уровня SYSTEM на скомпрометированном хосте, получил доступ к памяти процесса LSASS для кражи учетных данных и начал перемещение по сети. Используя учетную запись администратора домена, злоумышленник развернул полезные нагрузки Metasploit на нескольких системах, продолжая извлекать данные из LSASS. Примечательно, что на некоторых хостах активные антивирусные решения смогли заблокировать эту активность.

На второй день инцидента атакующий, по-видимому, столкнулся с проблемами: в выполняемых командах обнаруживались синтаксические ошибки, а попытка добавить уже существующую учетную запись в группу администраторов домена оказалась бессмысленной. Вскоре после этого злоумышленник потерял доступ к среде, вероятно, в результате действий службы безопасности компании. Однако критическая ошибка была допущена на этапе восстановления: уязвимый сервер Apache ActiveMQ не был обновлен или изолирован.

Повторный взлом и развертывание программ-вымогателей

Спустя 18 дней, в конце февраля - начале марта, та же угроза вернулась. Используя идентичный вектор атаки и ту же неустраненную уязвимость CVE-2023-46604, злоумышленник вновь получил доступ к сети. На этот раз его действия были быстрыми и целенаправленными. Повторив эскалацию привилегий и кражу учетных данных с первоначального хоста, атакующий приступил к активному перемещению по сети с помощью RDP (протокол удаленного рабочего стола) и выполнения удаленных служб. Для этого использовалась учетная запись привилегированного сервиса, скомпрометированная еще в ходе первой фазы вторжения.

Подготовив среду, в том числе установив инструмент удаленного доступа AnyDesk и настроив разрешения для RDP, злоумышленник приступил к финальной стадии. На файловый и резервный серверы через RDP-сессии были скопированы и запущены исполняемые файлы программ-вымогателей LockBit. Общее время от первоначального доступа до запуска шифровальщика (Time to Ransomware, TTR) составило около 19 дней. Однако ключевой вывод заключается в том, что с момента повторного проникновения до начала шифрования прошло менее 90 минут. Это подчеркивает, насколько быстро может развиваться атака, если злоумышленник уже обладает украденными учетными данными и знанием инфраструктуры.

Технический анализ и атрибуция

Анализ вредоносного ПО показал несколько отклонений от стандартных операций группировки LockBit. Во-первых, записка с требованиями выкупа была модифицирована: вместо ссылок на официальный Tor-сайт LockBit жертвам предлагалось связаться через мессенджер Session. Во-вторых, в инфраструктуре управления и контроля не было обнаружено связей с известными серверами LockBit. На основе этих признаков эксперты пришли к выводу, что атака была проведена независимым злоумышленником, использующим публично слитый конструктор (builder) LockBit Black для создания собственных программ-вымогателей. Это яркий пример тенденции «ransomware-as-a-service» (RaaS), когда инструментарий становится доступен широкому кругу преступников, повышая общий уровень угроз.

Рекомендации по защите и выводы

Данный инцидент высвечивает несколько критически важных аспектов для специалистов по кибербезопасности. Во-первых, приоритизация устранения уязвимостей на интернет-обращенных системах является задачей номер один. CVE-2023-46604 для Apache ActiveMQ имеет критические последствия, и наличие таких систем в открытом доступе без исправлений недопустимо. Во-вторых, процесс ликвидации последствий инцидента (Incident Response, IR) должен включать не только выявление и удаление вредоносных артефактов, но и тщательное «залечивание» первоначального вектора атаки, смену всех потенциально скомпрометированных учетных данных и аудит настроек безопасности. Тот факт, что атакующий смог вернуться через тот же путь, указывает на недостаточную глубину анализа при первом реагировании.

В-третьих, мониторинг сетевой активности и событий безопасности позволил выявить первую волну атаки. Срабатывание правил сетевой системы обнаружения вторжений (Intrusion Detection System, IDS), таких как ET EXPLOIT Successful Apache ActiveMQ Remote Code Execution, является четким сигналом для начала расследования. Кроме того, активность по краже учетных данных из LSASS и подозрительные RDP-подключения между серверами должны находиться под пристальным вниманием систем класса SIEM (Security Information and Event Management, система управления событиями и информацией безопасности). Наконец, использование многофакторной аутентификации для доступа к критически важным системам, особенно через RDP, могло бы существенно усложнить или предотвратить этап перемещения по сети и развертывания программ-вымогателей, даже при наличии украденных паролей.

Этот случай служит суровым напоминанием, что в современном ландшафте угроз одна ошибка или незакрытая уязвимость могут иметь долгосрочные последствия. Бдительность, глубокое понимание архитектуры собственной сети и готовность к комплексному реагированию остаются ключевыми элементами эффективной обороны.

Индикаторы компрометации

IPv4

  • 166.62.100.52

SHA256

  • 722fff8f38197d1449df500ae31a95bb34a6ddaba56834b13eaaff2b0f9f1c8b
  • 87bfb05057f215659cc801750118900145f8a22fa93ac4c6e1bfd81aa98b0a55
  • 8ceee89550c521ba43f59d24ba53a22a3b69ead0fce118508d0a87a383d6a7b6
  • c8646cfb574ff2c6f183c3c3951bf6b2c6cf16ff8a5e949a118be27f15962fae
  • d9c888bde81f19f3dc4f050d184ffa6470f1a93a2b3b10b3cc2d246574f56841

AnyDesk Client ID

  • 1148037084
Комментарии: 0
Похожие записи
0
09.09.2025
Индикаторы компрометации

Стирание границ: обнаружена связь одного вторжения с тремя крупными группами вымогателей

ransomware
Новый инцидент кибербезопасности демонстрирует тревожную тенденцию: злоумышленники всё чаще действуют как аффилированные лица, одновременно работая на несколько групп, занимающихся распространением программ-вымогателей.
0
30.06.2025
Индикаторы компрометации

Распыление паролей через открытый RDP: как одна уязвимость привела к катастрофическому внедрению RansomHub

ransomware
В конце ноября 2024 года произошла одна из наиболее поучительных кибератак года, демонстрирующая, как банальная ошибка в настройке Remote Desktop Protocol (RDP) обернулась полномасштабным развертыванием