Los actores de amenaza están explotando un defecto de seguridad de casi dos primaveras en Apache Activemq para obtener golpe persistente a los sistemas de Linux en la nimbo y implementar malware llamado Gotas de filtración.
Pero en un locución inusual, se ha observado a los atacantes desconocidos parchear la vulnerabilidad explotada luego de apuntalar el golpe auténtico para evitar una decano explotación por parte de otros adversarios y esquivar la detección, dijo Red Canary en un documentación compartido con las parte de los hackers.
“Las herramientas de seguimiento de comando y control del adversario (C2) variaban según el punto final e incluyeron Sliver, y los túneles de CloudFlare para perdurar el comando y el control encubiertos sobre el generoso plazo”, dijeron los investigadores Christina Johns, Chris Brook y Tyler Edmonds.
Los ataques explotan una falta de seguridad de severidad máxima en Apache ActivemQ (CVE-2023-46604, puntaje CVSS: 10.0), una vulnerabilidad de ejecución de código remoto que podría explotarse para ejecutar comandos de shell arbitrary. Se dirigió a fines de octubre de 2023.
Desde entonces, el defecto de seguridad ha sido una gran explotación, con múltiples actores de amenazas que lo aprovechan para implementar una amplia serie de cargas aperos, que incluyen ransomware Hellokitty, Rootkits de Linux, malware Gotitan Botnet y Godzilla Web Shell.
En la actividad de ataque detectada por Red Canary, se ha observado que los actores de amenaza aprovechan el golpe para modificar las configuraciones SSHD existentes para permitir el inicio de sesión de la raíz, otorgándoles un golpe elevado para soltar un descargador previamente desconocido doblado DripDropper.
Dripdropper, un formato ejecutable de Pyinstaller y un formato vinculable (ELF), requiere una contraseña para ejecutarse en un prospección de resistor. Todavía se comunicó con una cuenta de Dropbox controlada por el atacante, una vez más ilustrando cómo los actores de amenaza dependen cada vez más de los servicios legítimos para combinarse con la actividad de la red regular y la detección de diversión.
El descargador finalmente sirve como un conducto para dos archivos, uno de los cuales facilita un conjunto variado de acciones en diferentes puntos finales, que van desde el monitoreo del proceso hasta el contacto con Dropbox para obtener más instrucciones. La persistencia del archivo caído se logra modificando el archivo 0anacron presente en /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly, /etc/cron.monthly directorios.
El segundo archivo descartado por DripDropper además está diseñado para contactar a Dropbox para admitir comandos, al tiempo que altera los archivos de configuración existentes relacionados con SSH, probablemente como un mecanismo de respaldo para el golpe persistente. La etapa final implica que el atacante descargue de los parches Apache Maven para CVE-2023-46604, conectando efectivamente la falta.
“Parchear la vulnerabilidad no interrumpe sus operaciones, ya que ya establecieron otros mecanismos de persistencia para el golpe continuo”, dijeron los investigadores.
Aunque ciertamente es rara, la técnica no es nueva. El mes pasado, la agencia doméstico de ciberseguridad de Francia, ANSSI, detalló a un corredor de golpe auténtico de China-Nexus que emplea el mismo enfoque para apuntalar el golpe a los sistemas y evitar que otros actores de amenazas usen las deficiencias para entrar y embozar el vector de golpe auténtico utilizado en primer sitio.
La campaña ofrece un recordatorio oportuno de por qué las organizaciones deben aplicar parches de forma oportuna, circunscribir el golpe a los servicios internos al configurar reglas de ingreso a direcciones IP confiables o VPN, y monitorear el registro de entornos en la nimbo para marcar la actividad anómala.
