Agentes de ameaças estão explorando uma falha de segurança em Apache ActiveMQ, quase com dois anos de existência, para obter acesso persistente a sistemas Linux na nuvem e implantar um malware chamado DripDropper.
Mas, em uma reviravolta incomum, os atacantes desconhecidos têm sido observados corrigindo a vulnerabilidade explorada após garantir o acesso inicial para evitar a exploração adicional por outros adversários e evadir a detecção, disse a Red Canary em um relatório compartilhado com o site The Hacker News.
"As ferramentas de comando e controle (C2) subsequentes do adversário variaram por endpoint e incluíram Sliver e Cloudflare Tunnels para manter um comando e controle covert a longo prazo," disseram os pesquisadores Christina Johns, Chris Brook e Tyler Edmonds.
Os ataques exploram uma falha de segurança de severidade máxima em Apache ActiveMQ (
CVE-2023-46604
, pontuação CVSS: 10.0), uma vulnerabilidade de execução de código remoto que pode ser explorada para executar comandos shell arbitrários.
Foi corrigida no final de outubro de 2023.
Desde então, o defeito de segurança tem sido fortemente explorado, com múltiplos agentes de ameaças aproveitando-o para implantar uma ampla gama de payloads, incluindo ransomware HelloKitty, rootkits Linux, malware botnet GoTitan e web shell Godzilla.
Na atividade de ataque detectada pela Red Canary, os agentes de ameaças foram observados aproveitando o acesso para modificar as configurações existentes do sshd para habilitar o login como root, concedendo-lhes acesso elevado para soltar um downloader anteriormente desconhecido apelidado de DripDropper.
Um binário PyInstaller Executable and Linkable Format (ELF), DripDropper requer uma senha para ser executado em uma tentativa de resistir à análise.
Ele também se comunicou com uma conta Dropbox controlada pelo atacante, ilustrando novamente como os agentes de ameaças estão cada vez mais confiando em serviços legítimos para se misturar com a atividade de rede regular e evitar detecção.
O downloader serve, em última análise, como um canal para dois arquivos, um dos quais facilita um conjunto variado de ações em diferentes endpoints, variando desde monitoramento de processos até contato com Dropbox para instruções adicionais.
A persistência do arquivo solto é alcançada modificando o arquivo 0anacron presente nos diretórios /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly, /etc/cron.monthly.
O segundo arquivo solto por DripDropper também é projetado para contatar Dropbox para receber comandos, ao mesmo tempo que altera arquivos de configuração existentes relacionados ao SSH, provavelmente como um mecanismo de backup para acesso persistente.
A etapa final envolve o atacante baixando do Apache Maven patches para
CVE-2023-46604
, efetivamente fechando a falha.
"Corrigir a vulnerabilidade não interrompe suas operações, pois eles já estabeleceram outros mecanismos de persistência para acesso contínuo," disseram os pesquisadores.
Embora rara, a técnica não é nova.
No mês passado, a agência nacional de cibersegurança da França, ANSSI, detalhou um corretor de acesso inicial com nexos na China empregando a mesma abordagem para garantir o acesso a sistemas e prevenir que outros agentes de ameaças utilizem as deficiências para entrar e mascarar o vetor de acesso inicial utilizado inicialmente.
A campanha oferece um lembrete oportuno de por que as organizações precisam aplicar patches de forma tempestiva, limitar o acesso a serviços internos configurando regras de ingresso para endereços IP confiáveis ou VPNs, e monitorar registros para ambientes na nuvem para sinalizar atividades anômalas.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...