Исследователи из Red Canary сообщили, что хакеры используют новую Linux-малварь DripDropper. Для этих атак преступники эксплуатируют критическую уязвимость в опенсорсном ПО Apache ActiveMQ, а затем исправляют использованный баг.

В своих атаках злоумышленники применяют старую RCE-уязвимость CVE-2023-46604, набравшую 10 баллов из 10 возможных по шкале CVSS и получившую статус критической. Напомним, что этот баг был обнаружен и исправлен в конце октября 2023 года. Проблема позволяет атакующим выполнять произвольные шелл-команды, используя сериализованные типы классов в протоколе OpenWire.

В новых атаках хакеры устанавливают бэкдор на зараженные системы и загружают два файла Java Archive (JAR), которые фактически закрывают исходную уязвимость. Исправление бага после заражения помогает злоумышленникам скрыть происходящее от сканеров уязвимостей.

«Такое поведение весьма необычно, и мы наблюдаем подобное крайне редко, — рассказывают в Red Canary. — В прошлом мы видели такое только однажды. Большинство преступников работают по принципу “подключился и поехали”, они редко используют такие сложные трюки».

Доступ к системам жертв хакеры получают с помощью Sliver-импланта (легитимного инструмента для пентестеров, который нередко используется хакерами), с его помощью изменяя конфигурационный файл sshd целевой машины и получая root-доступ. Затем они загружают DripDropper — зашифрованный ELF, собранный с помощью PyInstaller, который связывается с контролируемым атакующими аккаунтом Dropbox и использует его для управления скомпрометированными Linux-серверами.

Специалисты отмечают, что DripDropper защищен паролем, что затрудняет доступ и анализ малвари.

«Действия этого файла меняются от случая к случаю — от мониторинга процессов до обращения к Dropbox за дальнейшими инструкциями, — сообщает команда Red Canary. — DripDropper обеспечивает постоянное выполнение загруженного файла, изменяя файл 0anacron, находящийся в каждом каталоге /etc/cron.*/. Также обычно он изменяет существующие файлы конфигурации, связанные с SSH, включая изменение стандартной оболочки входа для пользовательской учетной записи games в /bin/sh. Это, предположительно, подготавливает систему, создавая дополнительный постоянный доступ через аккаунт games, позволяя злоумышленникам выполнять шелл-команды».

После установки малвари и исправления уязвимости атакующие доставляют в систему новые пейлоады. Это могут быть различные инфостилеры, вымогатели или инструменты сетевого доступа, которые хакеры могут применять для продвижения по сети и заражения других машин.

Исследователи пишут, что теоретически CVE-2023-46604 не должна быть проблемой в 2025 году, ведь ее исправили еще два года назад. Однако не все устанавливают патчи вовремя, а вендоры не помогают в этом вопросе. К примеру, Oracle выпустила патч для этой уязвимости только в январе текущего года, хотя специалисты неоднократно предупреждали об атаках с ее использованием.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии