Hackers Exploiting Apache ActiveMQ Vulnerability to Gain Access to Cloud Linux Systems
2025/08/20 CyberSecurityNews — Apache ActiveMQ の深刻なリモート・コード実行の脆弱性 CVE-2023-46604 を悪用し、クラウド・ベースの Linux システムを侵害する、巧妙なキャンペーンの存在が明らかになった。このケースにおける攻撃者は、悪用後の脆弱性にパッチを適用することで、排他的アクセスの維持と検出の回避を図っており、国家レベル攻撃者だけが実施するとされる、高度な運用セキュリティ対策を施している。
主なポイント
- 攻撃者は Apache ActiveMQ の脆弱性を悪用し、クラウド Linux システムに対するリモート・アクセスを確立する。
- 侵害後に脆弱性 CVE-2023-46604 を修正することで検出を回避する。
- 展開される新たなマルウェアは Dropbox を C2 として利用し、SSH を改変して永続的バックドア・アクセスを確立する。
未知の DripDropper マルウェアが展開
このキャンペーンは、Java で記述された OSS メッセージ・ブローカー Apache ActiveMQ を標的とし、その脆弱性 CVE-2023-46604 を悪用することで、標的システム上で任意のコード実行を引き起こすものだ。
Red Canary が確認したのは、数十のクラウド・ベース Linux エンドポイントに対して、攻撃者が検出コマンドを実行していることだ。EPSS スコアによると、この脆弱性が悪用される可能性は 94.44% である。
以前からセキュリティ研究者たちは、TellYouThePass/Ransomhub/HelloKitty ランサムウェアや、Kinsing 暗号通貨マイナーなどのマルウェア・ファミリーを展開するために、この脆弱性が悪用されてきたと報告している。
イニシャル・アクセスを取得した攻撃者たちは、Sliver インプラントや Cloudflare Tunnels など正規ツールを用いて高度な C2 基盤を展開し、永続的なアクセスを確保する。
さらに攻撃者は、近年の Linux ディストロにおいては、デフォルトで無効化されることが多い、 root ログイン・アクセスを有効化することで、SSH デーモンのコンフィグを改変し、最高権限を獲得する。
続いて攻撃者は、”DripDropper” と呼ばれる未知のマルウェアを展開する。それは、実行時にパスワードを必要とする、暗号化済みの PyInstaller ELF (Executable and Linkable Format) ファイルに取り込まれ、自動的なサンドボックス分析を妨害する。
DripDropper は、ハードコード済みベアラー・トークンを用いて、攻撃者が管理する Dropbox アカウントと通信し、正規クラウド・サービスのネットワーク・トラフィックに、悪意の通信を混入させる。
このマルウェアは、”/etc/cron.*/” ディレクトリ内の 0anacron ファイルを改変することで永続性を確立し、ランダムな8文字アルファベット名を持つ、2つの悪意ファイルを作成する。
| Risk Factors | Details |
| Affected Products | Apache ActiveMQ (open source message broker) |
| Impact | Remote Code Execution (RCE) |
| Exploit Prerequisites | Network access to vulnerable ActiveMQ service |
| CVSS 3.1 Score | 9.8 (Critical) |
これらのセカンダリ・ペイロードは、SSH コンフィグ・ファイルを改竄し、”games” ユーザー・アカウントのデフォルト・ログイン・シェルを “/bin/sh” に変更することで、継続的なリモート・アクセスを準備していく。
特筆すべきは、この攻撃者が、”repo1[.]maven[.]org” から正規 Apache ActiveMQ JAR ファイルを取得し、エクスプロイト後に CVE-2023-46604 にパッチを適用し、脆弱なコンポーネントを置換する点である。
この手法により、他の攻撃者からの同一の脆弱性への悪用を防止し、脆弱性スキャナーによる検出の可能性を低減することで、侵害済みシステムに対する排他的な制御が可能になる。
ユーザー組織が、Linux/Cloud 環境全体に対して検討すべきことは、堅牢なログ記録/コンフィグ監視/最小権限原則などの包括的セキュリティ戦略の導入である。
Apache ActiveMQ の脆弱性 CVE-2023-46604 を悪用する、攻撃キャンペーンが展開されているようです。この脆弱性を悪用する攻撃者は、クラウド Linux システムに侵入した後に、自らパッチを適用するという珍しい手法を取り、他の攻撃者や検知ツールから隠れる工夫をしているとのことです。また、SSH コンフィグの改変や DripDropper という未知のマルウェアの展開により、永続的なアクセスを維持していると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Apache ActiveMQ で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.