Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,483
- Баллы
- 155
Исследователи из сообщили, что хакеры используют новую Linux-малварь DripDropper. Для этих атак преступники эксплуатируют критическую уязвимость в опенсорсном ПО Apache ActiveMQ, а затем исправляют использованный баг.
В своих атаках злоумышленники применяют старую RCE-уязвимость , набравшую 10 баллов из 10 возможных по шкале CVSS и получившую статус критической. Напомним, что этот баг был обнаружен и исправлен в конце октября 2023 года. Проблема позволяет атакующим выполнять произвольные шелл-команды, используя сериализованные типы классов в протоколе OpenWire.
В новых атаках хакеры устанавливают бэкдор на зараженные системы и загружают два файла Java Archive (JAR), которые фактически закрывают исходную уязвимость. Исправление бага после заражения помогает злоумышленникам скрыть происходящее от сканеров уязвимостей.
Доступ к системам жертв хакеры получают с помощью Sliver-импланта (легитимного инструмента для пентестеров, который нередко используется хакерами), с его помощью изменяя конфигурационный файл sshd целевой машины и получая root-доступ. Затем они загружают DripDropper — зашифрованный ELF, собранный с помощью PyInstaller, который связывается с контролируемым атакующими аккаунтом Dropbox и использует его для управления скомпрометированными Linux-серверами.
Специалисты отмечают, что DripDropper защищен паролем, что затрудняет доступ и анализ малвари.
После установки малвари и исправления уязвимости атакующие доставляют в систему новые пейлоады. Это могут быть различные инфостилеры, вымогатели или инструменты сетевого доступа, которые хакеры могут применять для продвижения по сети и заражения других машин.
Исследователи пишут, что теоретически CVE-2023-46604 не должна быть проблемой в 2025 году, ведь ее исправили еще два года назад. Однако не все устанавливают патчи вовремя, а вендоры не помогают в этом вопросе. К примеру, Oracle для этой уязвимости только в январе текущего года, хотя специалисты об атаках с ее использованием.