文章总结： 文章报道黑客利用ApacheActiveMQ远程代码执行漏洞CVE-2023-46604入侵企业部署LockBit勒索软件。攻击者窃取凭证后二次入侵，通过LSASS内存读取、进程注入等手段规避检测，最终在不足90分钟内完成加密。企业应立即修复漏洞、启用LSASS保护、监控日志清空行为并限制未授权远程工具，同时重置所有账户凭证以防范风险。 综合评分： 84 文章分类： 漏洞预警,威胁情报,应急响应,内网渗透

Apache ActiveMQ漏洞遭利用，LockBit勒索软件批量入侵企业

看雪学苑 看雪学苑

看雪学苑

2026年2月25日 17:59 上海

近日，黑客利用Apache ActiveMQ服务器高危漏洞，入侵企业网络并部署LockBit勒索软件，从初始渗透到全面加密仅耗时约19天，风险极高。

此次攻击的核心漏洞为Apache ActiveMQ的远程代码执行漏洞CVE-2023-46604。2024年2月中旬，黑客向公网可访问的ActiveMQ服务器发送特制命令，诱导其加载恶意配置文件，进而通过Windows CertUtil工具下载攻击程序。

攻击程序执行后，立即与黑客控制的166.62.100[.]52服务器建立连接，仅40分钟就获取系统最高权限，并窃取跳板机的账户凭证。

据The DFIR Report溯源，黑客虽在入侵次日被逐出，但漏洞服务器未打补丁，攻击路径仍开放。18天后，黑客利用相同漏洞、窃取的特权账户凭证，再次轻松入侵内网。

重新入侵后，黑客确认域管理员权限，通过伪装扫描工具枚举内网主机，再通过RDP会话传入LB3.exe等LockBit勒索软件，分别在文件服务器和普通主机上执行加密。此次攻击为独立黑客利用泄露工具发起，勒索通知未指向LockBit官方。

整个攻击周期达419小时（约19天），若未检测到初始入侵，黑客重新进入后不足90分钟即可启动加密，防御窗口极短。

凭证窃取是关键，多种手段规避检测

此次攻击中，黑客通过读取多台主机的LSASS进程内存窃取凭证，日志显示其采用注入代码方式，不留明显痕迹。被盗的特权账户凭证，成为二次入侵的关键。

黑客还通过多重混淆处理攻击命令，采用内存注入方式执行恶意程序，规避终端检测——开启Microsoft Defender的主机成功拦截，未防护主机则被完全入侵。

为掩盖痕迹，黑客安装AnyDesk留后门、开启RDP端口后立即删除相关文件、清空系统日志，并禁用Windows Defender。

紧急防御建议

企业需立即采取以下措施防范攻击：

• 立即为ActiveMQ服务器打补丁，修复CVE-2023-46604漏洞；

• 启用LSASS保护，防止账户凭证被窃取；

• 监控日志清空行为，警惕异常操作；

• 限制未授权远程访问工具（如AnyDesk）使用；

• 怀疑入侵后，立即重置所有账户凭证。

参考来源

1. The DFIR Report（攻击细节原始来源）

2. 公开网络安全漏洞库（CVE-2023-46604相关）

3. 行业公开威胁分析报告（LockBit特征参考）

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《Apache ActiveMQ漏洞遭利用，LockBit勒索软件批量入侵企业》