Una campaña sofisticada descubierta donde los adversarios están explotando CVE-2023-46604, una vulnerabilidad de ejecución de código remoto crítico en Apache ActivemQ, para comprometer los sistemas Linux basados en la nube.
En este caso, los atacantes están parchando la vulnerabilidad que explotaron para mantener el acceso exclusivo y evadir la detección, demostrando prácticas avanzadas de seguridad operativa típicamente reservadas para los actores de estado-nación.
Control de llave
1. Los atacantes explotan una vulnerabilidad de Apache ActivemQ para el acceso remoto a los sistemas de Linux en la nube.
2. Los piratas informáticos parche la vulnerabilidad después del compromiso para evitar la detección.
3. El nuevo malware utiliza Dropbox para C2 y modifica SSH para el acceso persistente de puerta trasera.
Nuevo malware ‘Dripdropper’ implementado
La campaña se dirige a Apache Activemq, un corredor de mensajes de código abierto ampliamente utilizado escrito en Java, aprovechando CVE-2023-46604 para ejecutar código arbitrario en sistemas vulnerables.
Canario rojo detectado Los adversarios que realizan comandos de descubrimiento en docenas de puntos finales de Linux basados en la nube, con la vulnerabilidad con una probabilidad de explotación del 94.44 por ciento de acuerdo con su puntaje EPSS.
Los investigadores de seguridad han documentado previamente esta vulnerabilidad explotada para implementar varias familias de malware, incluidas TellyOuthepass, Ransomhub, Hellokitty Ransomware y Kinsing Miners de criptomonedas.
Después de obtener el acceso inicial, los atacantes implementan una infraestructura sofisticada de comando y control utilizando herramientas legítimas como implantes de astillas y túneles de CloudFlare para mantener un acceso persistente.
Los adversarios modifican las configuraciones de Daemon SSH al habilitar el acceso de inicio de sesión de raíz, que generalmente se deshabilita de forma predeterminada en las distribuciones modernas de Linux, otorgándoles el nivel más alto de privilegios del sistema.
Los actores de amenaza implementan una cepa de malware previamente desconocida denominada “Dripdropper”, descrita como un archivo Pyinstaller ELF (formato ejecutable y vinculable) cifrado que requiere una contraseña para ejecutar, obstaculizando el análisis automatizado de Sandbox.
DripDropper se comunica con cuentas de Dropbox controladas por adversario utilizando tokens de portador codificados, aprovechando los servicios de nube legítimos para combinar el tráfico malicioso con la actividad de la red normal.
El malware establece la persistencia al modificar el archivo 0anacron en /etc/cron.*/ Directorios y crea dos archivos maliciosos adicionales con nombres alfabéticos aleatorizados de ocho caracteres.
Factores de riesgo Los productos afectados por la colocación de productos activados (Broker de mensajes de código abierto) Execución del código de impactremote (RCE) Exploten el acceso a la red de requisitos previos a Activemq ServiceCVSS 3.1 puntaje 9.8 (crítico)
Estas cargas secundarias alteran los archivos de configuración SSH y modifican el shell de inicio de sesión predeterminado para la cuenta de usuario de ‘juegos’ a /bin /sh, preparando el sistema para un acceso remoto sostenido.
En particular, los atacantes descargan archivos legítimos de Apache Activemq JAR de Repo1 (.) Maven (.) Org y reemplazan los componentes vulnerables, reparando efectivamente CVE-2023-46604 después de la explotación.
Esta técnica evita que otros adversarios exploten la misma vulnerabilidad y reducen la probabilidad de detección a través de escáneres de vulnerabilidad, asegurando su control exclusivo sobre los sistemas comprometidos.
Las organizaciones deben implementar estrategias de seguridad integrales que van más allá de la gestión de vulnerabilidad tradicional, incluida la registro robusto, el monitoreo de la configuración y el principio de menor privilegio en sus entornos de Linux y Cloud.
Detonar de forma segura archivos sospechosos para descubrir amenazas, enriquecer sus investigaciones y reducir el tiempo de respuesta de incidentes. Comience con una prueba de Sandbox Anyrun →
