- 19,960
- 44
- 8 Ноя 2022
Хакеры закрыли уязвимость за вас, но теперь хранят ваши ключи.
Специалисты Red Canary обнаружили необычную кампанию с использованием нового вредоносного ПО DripDropper, нацеленного на облачные Linux-серверы. Злоумышленники получали доступ через уязвимость CVE-2023-46604 в Apache ActiveMQ , после чего закреплялись в системе и... устанавливали патч для закрытия той самой дыры. Такой парадоксальный ход позволял им не только замести следы, но и заблокировать доступ конкурентам, оставляя заражённый сервер под своим полным контролем.
Аналитики зафиксировали выполнение команд разведки на десятках уязвимых хостов. На части из них атакующие внедряли инструменты удалённого управления — от Sliver до туннелей Cloudflare , обеспечивая скрытую долгосрочную связь с C2-серверами . В одном из эпизодов они меняли настройки sshd, включая вход под root, и запускали загрузчик DripDropper.
Сам DripDropper представляет собой ELF-файл, собранный через PyInstaller, защищённый паролем и общающийся с Dropbox-аккаунтом атакующих по токену. Этот инструмент создаёт дополнительные вредоносные файлы, закрепляет их в системе через cron и вносит изменения в SSH-конфигурации, открывая для операторов новые пути скрытого входа. Использование легитимных облачных сервисов вроде Dropbox или Telegram в роли C2-каналов позволяет вредоносной активности маскироваться под обычный сетевой трафик.
Финальный штрих атаки — скачивание и установка официальных JAR-патчей ActiveMQ с домена Apache Maven. Тем самым противники закрывали уязвимость, через которую сами проникли, минимизируя риск повторного компрометационного сканирования и вмешательства других хакеров .
Специалисты подчёркивают, что эксплуатация CVE-2023-46604 продолжается, несмотря на её возраст, и применяется не только для DripDropper, но и для распространения вредоносов TellYouThePass , HelloKitty или майнера Kinsing .
Чтобы снизить риски, специалисты рекомендуют организациям усиливать защиту Linux-сред , особенно в облаке: применять автоматизированное управление конфигурациями через Ansible или Puppet, запрещать root-входы, запускать сервисы от непривилегированных пользователей, оперативно внедрять патчи и контролировать сетевые правила доступа. Важную роль играет и мониторинг логов облачных окружений, позволяющий вовремя заметить подозрительную активность.
Случай наглядно показывает: даже «залеченная» уязвимость не гарантирует безопасность, если исправление пришло от самих злоумышленников. Документирование обновлений и своевременная реакция администраторов остаются ключевыми факторами защиты критических систем.
Специалисты Red Canary обнаружили необычную кампанию с использованием нового вредоносного ПО DripDropper, нацеленного на облачные Linux-серверы. Злоумышленники получали доступ через уязвимость CVE-2023-46604 в Apache ActiveMQ , после чего закреплялись в системе и... устанавливали патч для закрытия той самой дыры. Такой парадоксальный ход позволял им не только замести следы, но и заблокировать доступ конкурентам, оставляя заражённый сервер под своим полным контролем.
Аналитики зафиксировали выполнение команд разведки на десятках уязвимых хостов. На части из них атакующие внедряли инструменты удалённого управления — от Sliver до туннелей Cloudflare , обеспечивая скрытую долгосрочную связь с C2-серверами . В одном из эпизодов они меняли настройки sshd, включая вход под root, и запускали загрузчик DripDropper.
Сам DripDropper представляет собой ELF-файл, собранный через PyInstaller, защищённый паролем и общающийся с Dropbox-аккаунтом атакующих по токену. Этот инструмент создаёт дополнительные вредоносные файлы, закрепляет их в системе через cron и вносит изменения в SSH-конфигурации, открывая для операторов новые пути скрытого входа. Использование легитимных облачных сервисов вроде Dropbox или Telegram в роли C2-каналов позволяет вредоносной активности маскироваться под обычный сетевой трафик.
Финальный штрих атаки — скачивание и установка официальных JAR-патчей ActiveMQ с домена Apache Maven. Тем самым противники закрывали уязвимость, через которую сами проникли, минимизируя риск повторного компрометационного сканирования и вмешательства других хакеров .
Специалисты подчёркивают, что эксплуатация CVE-2023-46604 продолжается, несмотря на её возраст, и применяется не только для DripDropper, но и для распространения вредоносов TellYouThePass , HelloKitty или майнера Kinsing .
Чтобы снизить риски, специалисты рекомендуют организациям усиливать защиту Linux-сред , особенно в облаке: применять автоматизированное управление конфигурациями через Ansible или Puppet, запрещать root-входы, запускать сервисы от непривилегированных пользователей, оперативно внедрять патчи и контролировать сетевые правила доступа. Важную роль играет и мониторинг логов облачных окружений, позволяющий вовремя заметить подозрительную активность.
Случай наглядно показывает: даже «залеченная» уязвимость не гарантирует безопасность, если исправление пришло от самих злоумышленников. Документирование обновлений и своевременная реакция администраторов остаются ключевыми факторами защиты критических систем.
- Источник новости
- www.securitylab.ru
