Хакерские группировки активно эксплуатируют критическую уязвимость в Apache ActiveMQ для установки нового вредоносного ПО под названием DripDropper на облачные системы Linux. После получения постоянного доступа через несколько бэкдоров злоумышленники применяют уникальную тактику: они устанавливают исправление для той самой уязвимости, которую использовали для проникновения. Этот метод предназначен для блокировки доступа другим хакерам и сокрытия первоначального вектора атаки.
Уязвимость, получившая идентификатор CVE-2023-46604, имеет максимальный рейтинг опасности 10.0 по шкале CVSS. Она позволяет удаленно выполнять код (RCE) и запускать произвольные команды в системе. Хотя официальное исправление было выпущено в конце октября 2023 года, эта брешь в безопасности активно использовалась для развертывания различных угроз, включая программу-вымогатель HelloKitty, руткиты для Linux, ботнет GoTitan и веб-шелл Godzilla.
Атака начинается с эксплуатации уязвимости для получения первоначального доступа. Затем злоумышленники изменяют конфигурацию службы SSH (
DripDropper представляет собой исполняемый ELF-файл, созданный с помощью PyInstaller. Ключевой особенностью вредоноса является требование пароля для запуска, что значительно усложняет его анализ специалистами по безопасности. Для получения команд и загрузки дополнительных вредоносных компонентов DripDropper обращается к контролируемой злоумышленниками учетной записи в легитимном сервисе Dropbox, что позволяет маскировать вредоносный трафик под обычную сетевую активность.
После активации DripDropper загружает из Dropbox два файла. Первый файл отвечает за мониторинг процессов и создание основного механизма персистентности. Он изменяет файл
Второй загруженный файл создает резервный механизм сохранения доступа в системе. Он вносит изменения в конфигурационные файлы, связанные с SSH, гарантируя, что злоумышленники смогут подключиться к серверу даже в случае удаления основного бэкдора.
На заключительном этапе атаки происходит самое нетипичное действие. Злоумышленники загружают официальные исправления для уязвимости CVE-2023-46604 из репозитория Apache Maven и устанавливают их на скомпрометированную систему. Это действие преследует две цели: во-первых, не позволить другим хакерским группам воспользоваться той же уязвимостью, обеспечив себе эксклюзивный доступ. Во-вторых, это усложняет для защитников расследование инцидента, так как точка входа в систему оказывается скрыта.
Как отмечают исследователи из компании Red Canary, обнаружившие эту кампанию: «Исправление уязвимости не нарушает их работу, поскольку они уже создали другие механизмы персистентности для сохранения доступа». Таким образом, злоумышленники фактически «закрывают за собой дверь», оставаясь внутри системы.
Данная тактика не является абсолютно новой. Месяцем ранее национальное агентство кибербезопасности Франции (ANSSI) сообщало об аналогичном методе, который использовался брокером первоначального доступа, связанным с Китаем. Это указывает на зарождающийся тренд среди злоумышленников по обеспечению эксклюзивности контроля над взломанными активами.
Для защиты от подобных атак организациям рекомендуется своевременно устанавливать все обновления безопасности. Также необходимо настраивать правила брандмауэра для ограничения доступа к внутренним службам только с доверенных IP-адресов или через VPN. Важнейшей мерой является активный мониторинг журналов событий в облачных средах для выявления и оперативного реагирования на аномальную активность.
Изображение носит иллюстративный характер
Уязвимость, получившая идентификатор CVE-2023-46604, имеет максимальный рейтинг опасности 10.0 по шкале CVSS. Она позволяет удаленно выполнять код (RCE) и запускать произвольные команды в системе. Хотя официальное исправление было выпущено в конце октября 2023 года, эта брешь в безопасности активно использовалась для развертывания различных угроз, включая программу-вымогатель HelloKitty, руткиты для Linux, ботнет GoTitan и веб-шелл Godzilla.
Атака начинается с эксплуатации уязвимости для получения первоначального доступа. Затем злоумышленники изменяют конфигурацию службы SSH (
sshd), чтобы разрешить вход в систему с правами суперпользователя (root), тем самым повышая свои привилегии. Сразу после этого на скомпрометированную систему загружается вредоносная программа-загрузчик DripDropper. DripDropper представляет собой исполняемый ELF-файл, созданный с помощью PyInstaller. Ключевой особенностью вредоноса является требование пароля для запуска, что значительно усложняет его анализ специалистами по безопасности. Для получения команд и загрузки дополнительных вредоносных компонентов DripDropper обращается к контролируемой злоумышленниками учетной записи в легитимном сервисе Dropbox, что позволяет маскировать вредоносный трафик под обычную сетевую активность.
После активации DripDropper загружает из Dropbox два файла. Первый файл отвечает за мониторинг процессов и создание основного механизма персистентности. Он изменяет файл
0anacron в системных каталогах /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly и /etc/cron.monthly, обеспечивая регулярный запуск вредоносного кода. Второй загруженный файл создает резервный механизм сохранения доступа в системе. Он вносит изменения в конфигурационные файлы, связанные с SSH, гарантируя, что злоумышленники смогут подключиться к серверу даже в случае удаления основного бэкдора.
На заключительном этапе атаки происходит самое нетипичное действие. Злоумышленники загружают официальные исправления для уязвимости CVE-2023-46604 из репозитория Apache Maven и устанавливают их на скомпрометированную систему. Это действие преследует две цели: во-первых, не позволить другим хакерским группам воспользоваться той же уязвимостью, обеспечив себе эксклюзивный доступ. Во-вторых, это усложняет для защитников расследование инцидента, так как точка входа в систему оказывается скрыта.
Как отмечают исследователи из компании Red Canary, обнаружившие эту кампанию: «Исправление уязвимости не нарушает их работу, поскольку они уже создали другие механизмы персистентности для сохранения доступа». Таким образом, злоумышленники фактически «закрывают за собой дверь», оставаясь внутри системы.
Данная тактика не является абсолютно новой. Месяцем ранее национальное агентство кибербезопасности Франции (ANSSI) сообщало об аналогичном методе, который использовался брокером первоначального доступа, связанным с Китаем. Это указывает на зарождающийся тренд среди злоумышленников по обеспечению эксклюзивности контроля над взломанными активами.
Для защиты от подобных атак организациям рекомендуется своевременно устанавливать все обновления безопасности. Также необходимо настраивать правила брандмауэра для ограничения доступа к внутренним службам только с доверенных IP-адресов или через VPN. Важнейшей мерой является активный мониторинг журналов событий в облачных средах для выявления и оперативного реагирования на аномальную активность.
