Запароленный вредонос
Неизвестный актор начал серийно атаковать установки , используя уязвимость, обнаруженную еще в 2023 г. Тогда же она была устранена разработчиками продукта, но, очевидно, что патчи были установлены далеко не везде, где следовало бы.
По сведениям исследователей компании Red Canary, после получения доступа в скомпрометированную систему злоумышленники разворачивают различные инструменты для установления продолжительного контроля над ней, которые могут включать C2-фреймворк Sliver (который сам по себе является опенсорсным аналогом Cobalt Strike и Metasploit) и туннельные соединения Cloudflare. Выбор инструментов, по-видимому, зависит от конкретной мишени.
ActiveMQ представляет собой открытый пакет, написанный на Java. Он используется чаще всего для реализации обмена данными между различными приложениями. В 2023 г. в нем нашли 10-балльную уязвимость CVE-2023-46604, которая позволяла запускать произвольные шелл-команды. Разработчики пакета устранили ее в октябре 2023 г.
Позднее уязвимость подверглась массированной эксплуатации: ее пытались использовать операторы шифровальщика HelloKitty, ботнет GoTitan, вредонос Godzilla и авторы руткитов под Linux.
В ходе кампании, выявленной Red Canary, злоумышленники с помощью уязвимости получают root-доступ посредством модификации настроек sshd, затем загружают в систему дроппер DripDropper (в исполняемом формате ELF).
Что обращает на себя внимание, так это то, что DripDropper требует пароля для запуска. Очевидно, это механизм защиты от попыток его проанализировать.
Кроме того, DripDropper обращается к аккаунту Dropbox для получения новых инструкций и скачивания других файлов.
Упомянутые файлы, которые подгружает DripDropper, также обращаются к Dropbox за инструкциями. В публикации исследователей не уточняется, какие вредоносные функции они выполняют помимо этого, сказано лишь, что один из вредоносов осуществляет мониторинг трафика, и оба снабжены механизмами постоянства присутствия - через модификацию файлов 0anacron (в каталогах /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly и /etc/cron.monthly) и перенастройку файлов, относящихся к SSH.
Чужие здесь не ходят
На последнем этапе операторы вредоноса устанавливают на скомпрометированную систему патч к вышеупомянутой уязвимости: тем самым они сохраняют доступ к ней, но препятствуют новым атакам на ту же уязвимость со стороны других акторов.
«Это означает, что наличие патча само по себе может быть не свидетельством безопасности системы, а, наоборот, признаком компрометации», - замечает , эксперт по информационной безопасности компании SEQ.« Соответственно, необходимо проверить не только патч и время его установки, но и перечисленные в исследовании индикаторы компрометации, такие как изменения в планировщиках и подозрительные коммуникации с Dropbox».
Использование легитимных ресурсов и утилит - распространенная практика в киберкриминальной среде, да и установки патчей после эксплуатации уязвимостей также не является особой экзотикой. В любом случае, первопричиной атак является то, что на уязвимые продукты не установили вовремя необходимые обновления.