مهاجمان در حال بهرهبرداری از یک نقص امنیتی تقریباً دوساله در Apache ActiveMQ هستند تا به سیستمهای ابری لینوکس دسترسی مداوم پیدا کنند و بدافزاری به نام DripDropper را مستقر کنند.
Red Canary در گزارشی که با The Hacker News به اشتراک گذاشته شده است، گفت[۱]: “اما در یک تغییر غیرمعمول، مشاهده شده است که مهاجمان ناشناس پس از تأمین دسترسی اولیه، آسیبپذیری مورد بهرهبرداری را وصله میکنند تا از بهرهبرداری بیشتر توسط سایر مهاجمان جلوگیری کرده و از شناسایی شدن فرار کنند.”
کریستینا جانز، کریس بروک و تایلر ادموندز، محققان، گفتند: «ابزارهای فرماندهی و کنترل (C2) دشمن که به دنبال آن میآیند، بسته به نقطه پایانی متفاوت هستند و شامل تونلهای [۲]Sliver و Cloudflare برای حفظ فرماندهی و کنترل پنهان در درازمدت میشوند.»
این حملات از یک نقص امنیتی با حداکثر شدت در Apache ActiveMQ ([3]CVE-2023-46604، امتیاز ۱۰ در CVSS) بهرهبرداری میکنند، یک آسیبپذیری اجرای کد از راه دور که میتواند برای اجرای دستورات shell دلخواه مورد بهرهبرداری قرار گیرد. این نقص امنیتی در اواخر اکتبر ۲۰۲۳ برطرف شد.
از آن زمان تاکنون، این نقص امنیتی بهشدت مورد بهرهبرداری قرار گرفته است[۴] و چندین عامل تهدید از آن برای استقرار طیف وسیعی از بدافزارها، ازجمله باجافزار [۵]HelloKitty، روتکیتهای لینوکس[۶]، بدافزار باتنت [۷]GoTitan و پوسته وب [۸]Godzilla استفاده کردهاند.
در فعالیت حملهای که توسط Red Canary شناسایی شده است، مشاهده شده است که عاملان تهدید از دسترسی برای تغییر پیکربندیهای sshd موجود برای فعال کردن ورود به سیستم ریشه استفاده میکنند و به آنها دسترسی بالا برای رها کردن یک دانلود کننده ناشناخته به نام DripDropper میدهند.
DripDropper که یک فایل باینری PyInstaller Executable and Linkable Format (ELF) است، برای اجرا به رمز عبور نیاز دارد تا در برابر تجزیهوتحلیل مقاومت کند. همچنین با یک حساب Dropbox تحت کنترل مهاجم ارتباط برقرار میکرد که بار دیگر نشان میدهد چگونه عاملان تهدید بهطور فزایندهای برای ترکیب با فعالیتهای معمول شبکه و تشخیصهای دور زدن، به سرویسهای قانونی متکی هستند.
این دانلود کننده درنهایت بهعنوان مجرایی برای دو فایل عمل میکند که یکی از آنها مجموعه متنوعی از اقدامات را در نقاط انتهایی مختلف، از نظارت بر فرآیند گرفته تا تماس با دراپباکس برای دستورالعملهای بیشتر، تسهیل میکند. ماندگاری فایل رهاشده با تغییر فایل ۰[۹]anacron موجود در دایرکتوریهای /etc/cron.hourly، /etc/cron.daily، /etc/cron.weekly، /etc/cron.monthly، حاصل میشود.
فایل دوم رهاشده توسط DripDropper نیز برای تماس با دراپباکس برای دریافت دستورات طراحی شده است، درحالیکه فایلهای پیکربندی موجود مربوط به SSH را نیز تغییر میدهد، احتمالاً بهعنوان یک مکانیسم پشتیبان برای دسترسی مداوم. مرحله آخر مستلزم دانلود وصلههای CVE-2023-46604 از آپاچی ماون توسط مهاجم است که عملاً نقص را برطرف میکند.
محققان گفتند: “وصله کردن این آسیبپذیری عملیات آنها را مختل نمیکند زیرا آنها قبلاً مکانیسمهای پایداری دیگری را برای دسترسی مداوم ایجاد کردهاند.”
اگرچه مطمئناً نادر است، اما این تکنیک جدید نیست. ماه گذشته، آژانس ملی امنیت سایبری فرانسه (ANSSI) جزئیات[۱۰] یک کارگزار دسترسی اولیه چینی-نکسوس را شرح داد که از همین رویکرد برای ایمنسازی دسترسی به سیستمها و جلوگیری از بهرهبرداری سایر بازیگران تهدید از کاستیها برای ورود و پنهان کردن بردار دسترسی اولیه استفادهشده در وهله اول، استفاده میکند.
این کمپین یادآوری بهموقعی است که چرا سازمانها باید وصلهها را بهموقع اعمال کنند، دسترسی به سرویسهای داخلی را با پیکربندی قوانین ورود به آدرسهای IP یا VPN های معتبر محدود کنند و ثبت وقایع را برای محیطهای ابری رصد کنند تا فعالیتهای غیرعادی را علامتگذاری کنند.
منابع[۱] https://redcanary.com/blog/threat-intelligence/dripdropper-linux-malware
[۲] https://thehackernews.com/2023/01/threat-actors-turn-to-sliver-as-open.html
[۳] https://nvd.nist.gov/vuln/detail/cve-2023-46604
[۴] https://thehackernews.com/2023/11/hellokitty-ransomware-group-exploiting.html
[۵] https://thehackernews.com/2023/11/new-poc-exploit-for-apache-activemq.html
[۶] https://thehackernews.com/2023/11/kinsing-hackers-exploit-apache-activemq.html
[۷] https://thehackernews.com/2023/11/gotitan-botnet-spotted-exploiting.html
[۸] https://apa.aut.ac.ir/?p=10246
[۹] https://man7.org/linux/man-pages/man8/anacron.8.html
[۱۰] https://thehackernews.com/2025/07/chinese-hackers-exploit-ivanti-csa-zero.html
[۱۱] https://thehackernews.com/2025/08/apache-activemq-flaw-exploited-to.html
ثبت ديدگاه