Los actores de amenaza están explotando un defecto de seguridad de casi dos primaveras en Apache Activemq para obtener ataque persistente a los sistemas de Linux en la montón y implementar malware llamado Gotas de salida.
Pero en un rotación inusual, se ha observado a los atacantes desconocidos parchear la vulnerabilidad explotada luego de fijar el ataque original para evitar una decano explotación por parte de otros adversarios y escamotear la detección, dijo Red Canary en un crónica compartido con las telediario de los hackers.
«Las herramientas de seguimiento de comando y control del adversario (C2) variaban según el punto final e incluyeron Sliver, y los túneles de CloudFlare para abastecer el comando y el control encubiertos sobre el generoso plazo», dijeron los investigadores Christina Johns, Chris Brook y Tyler Edmonds.
Los ataques explotan una rotura de seguridad de severidad máxima en Apache ActivemQ (CVE-2023-46604, puntaje CVSS: 10.0), una vulnerabilidad de ejecución de código remoto que podría explotarse para ejecutar comandos de shell arbitrary. Se dirigió a fines de octubre de 2023.
Desde entonces, el defecto de seguridad ha sido una gran explotación, con múltiples actores de amenazas que lo aprovechan para implementar una amplia serie de cargas efectos, que incluyen ransomware Hellokitty, Rootkits de Linux, malware Gotitan Botnet y Godzilla Web Shell.
En la actividad de ataque detectada por Red Canary, se ha observado que los actores de amenaza aprovechan el ataque para modificar las configuraciones SSHD existentes para permitir el inicio de sesión de la raíz, otorgándoles un ataque elevado para soltar un descargador previamente desconocido doblado DripDropper.
Dripdropper, un formato ejecutable de Pyinstaller y un formato vinculable (ELF), requiere una contraseña para ejecutarse en un exploración de resistor. Incluso se comunicó con una cuenta de Dropbox controlada por el atacante, una vez más ilustrando cómo los actores de amenaza dependen cada vez más de los servicios legítimos para combinarse con la actividad de la red regular y la detección de entretenimiento.
El descargador finalmente sirve como un conducto para dos archivos, uno de los cuales facilita un conjunto variado de acciones en diferentes puntos finales, que van desde el monitoreo del proceso hasta el contacto con Dropbox para obtener más instrucciones. La persistencia del archivo caído se logra modificando el archivo 0anacron presente en /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly, /etc/cron.monthly directorios.
El segundo archivo descartado por DripDropper todavía está diseñado para contactar a Dropbox para tomar comandos, al tiempo que altera los archivos de configuración existentes relacionados con SSH, probablemente como un mecanismo de respaldo para el ataque persistente. La etapa final implica que el atacante descargue de los parches Apache Maven para CVE-2023-46604, conectando efectivamente la rotura.
«Parchear la vulnerabilidad no interrumpe sus operaciones, ya que ya establecieron otros mecanismos de persistencia para el ataque continuo», dijeron los investigadores.
Aunque ciertamente es rara, la técnica no es nueva. El mes pasado, la agencia doméstico de ciberseguridad de Francia, ANSSI, detalló a un corredor de ataque original de China-Nexus que emplea el mismo enfoque para fijar el ataque a los sistemas y evitar que otros actores de amenazas usen las deficiencias para entrar y velar el vector de ataque original utilizado en primer superficie.
La campaña ofrece un recordatorio oportuno de por qué las organizaciones deben aplicar parches de modo oportuna, delimitar el ataque a los servicios internos al configurar reglas de ingreso a direcciones IP confiables o VPN, y monitorear el registro de entornos en la montón para marcar la actividad anómala.
