20/08/25
Злоумышленники получали доступ через уязвимость CVE-2023-46604 в Apache ActiveMQ , после чего закреплялись в системе и... устанавливали обновление для закрытия той самой дыры. Такой парадоксальный ход позволял им не только замести следы, но и заблокировать доступ конкурентам, оставляя заражённый сервер под своим полным контролем.
Аналитики зафиксировали выполнение команд разведки на десятках уязвимых хостов. На части из них атакующие внедряли инструменты удалённого управления — от Sliver до туннелей Cloudflare , обеспечивая скрытую долгосрочную связь с C2-серверами. В одном из эпизодов они меняли настройки sshd, включая вход под root, и запускали загрузчик DripDropper, пишет Securitylab.
Сам DripDropper представляет собой ELF-файл, собранный через PyInstaller, защищённый паролем и общающийся с Dropbox-аккаунтом атакующих по токену. Этот инструмент создаёт дополнительные вредоносные файлы, закрепляет их в системе через cron и вносит изменения в SSH-конфигурации, открывая для операторов новые пути скрытого входа. Использование легитимных облачных сервисов вроде Dropbox или Telegram в роли C2-каналов позволяет вредоносной активности маскироваться под обычный сетевой трафик.
Заканчивается всё скачиванием и установкой официальных JAR-патчей ActiveMQ с домена Apache Maven. Тем самым противники закрывали уязвимость, через которую сами проникли, минимизируя риск повторного компрометационного сканирования и вмешательства других хакеров.
Специалисты подчёркивают, что эксплуатация CVE-2023-46604 продолжается, несмотря на её возраст, и применяется не только для DripDropper, но и для распространения вредоносов TellYouThePass, HelloKitty или майнера Kinsing.
Чтобы снизить риски, специалисты рекомендуют организациям усиливать защиту Linux-сред, особенно в облаке: применять автоматизированное управление конфигурациями через Ansible или Puppet, запрещать root-входы, запускать сервисы от непривилегированных пользователей, оперативно внедрять патчи и контролировать сетевые правила доступа. Важную роль играет и мониторинг логов облачных окружений, позволяющий вовремя заметить подозрительную активность.
