Os pesquisadores de segurança cibernética descobriram uma sofisticada campanha de ataque, onde os hackers explorando uma vulnerabilidade crítica do Apache ActiveMQ estão dando o passo incomum de corrigir a falha de segurança depois de obter acesso aos sistemas de vítimas.
A equipe de inteligência de ameaças canárias vermelhas observado Esse comportamento contra-intuitivo em dezenas de servidores Linux baseados em nuvem comprometidos, revelando uma abordagem estratégica para manter o controle exclusivo sobre os sistemas violados.
Os ataques segmentam CVE-2023-46604, uma vulnerabilidade crítica de execução de código remoto no Apache ActiveMQ, um corretor de mensagens de código aberto amplamente usado.
| Campo | Detalhes |
| Cve id | CVE-2023-46604 |
| Data publicada | 27 de outubro de 2023 |
| Último modificado | 28 de dezembro de 2023 |
| CVSS3.1 Pontuação base | 10.0 (crítico) |
| Vetor CVSS | CVSS: 3.1/av: n/ac: l/pr: n/ui: n/s: c/c: h/i: h/a: h |
Apesar de ter quase três anos, este vulnerabilidade Mantém uma probabilidade de exploração de 94,44 % de acordo com sua pontuação no EPSS, tornando -o um alvo atraente para os cibercriminosos.
A investigação do Red Canary revelou uma metodologia de ataque complexa envolvendo vários estágios de compromisso.
Depois de explorar inicialmente a vulnerabilidade do ActiveMQ, os invasores implantaram várias ferramentas de comando e controle, incluindo implantes de lasca e túneis Cloudflare para estabelecer acesso persistente.
Em vários casos, os adversários modificaram as configurações SSH para ativar o acesso ao login root, concedendo a eles privilégios máximos do sistema.
A campanha introduziu uma tensão de malware anteriormente desconhecida apelidada de “DripDropper”, um executável criptografado do PyInstaller que exige que uma senha seja executada.
Esta ferramenta se comunica com contas Dropbox controladas por adversários usando tokens de portadores codificados, demonstrando como os invasores aproveitam os serviços legítimos em nuvem para misturar tráfego malicioso com comunicações normais.
O DripDropper cria dois arquivos maliciosos em sistemas comprometidos. O primeiro desempenha várias funções, incluindo o monitoramento de processos e o estabelecimento de persistência por meio de modificações no trabalho de Cron.
O segundo arquivo, com um nome de oito caracteres gerado aleatoriamente, modifica as configurações SSH e prepara sistemas para mecanismos de acesso persistentes adicionais.
Em uma jogada tática impressionante, os atacantes baixaram arquivos legítimos do ActiveMQ JAR dos repositórios Apache Maven para corrigir a vulnerabilidade CVE-2023-46604 em sistemas já comprometidos.
Esse comportamento incomum serve a propósitos duplos: reduzindo a detecção por scanners de vulnerabilidades e impedindo que os atores de ameaças concorrentes explorem a mesma falha para obter acesso.
“É uma ótima maneira de preencher potencialmente outros adversários, garantindo que sua posição permaneça exclusiva”, observou os pesquisadores de segurança.
Essa técnica foi observada com outras vulnerabilidades críticas, destacando uma tendência emergente em ameaças persistentes avançadas.
A campanha ressalta riscos persistentes que enfrentam a infraestrutura do Linux em nuvem. O CVE-2023-46604 continua permitindo a implantação de várias famílias de malware, incluindo TellyUTePass, Ransomhub, Hellokitty Ransomwaree criptografadores de parto.
A exploração contínua da vulnerabilidade demonstra como as falhas do legado continuam sendo vetores de ataque perigosos em ambientes em nuvem em rápida expansão.
Especialistas em segurança enfatizam que as varreduras de vulnerabilidade limpas não garantem a segurança do sistema, principalmente quando adversários sofisticados empregam técnicas de patches pós-exploração.
As organizações devem implementar o monitoramento abrangente, o gerenciamento SSH baseado em políticas e os procedimentos proativos de verificação de patches para se defender contra essas ameaças em evolução.
A campanha destaca como os adversários visam cada vez mais os sistemas Linux, à medida que a adoção de nuvem acelera em ambientes corporativos.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!