Los actores de amenaza están aprovechando los defectos de seguridad de hace casi dos años en Apache Activemq para obtener acceso permanente a los sistemas de Linux en la nube y la implementación de malware llamado DripDropper.
Sin embargo, con un giro anómalo, se ha observado que los atacantes desconocidos repararon vulnerabilidades explotadas después de garantizar el acceso inicial para evitar una mayor explotación por parte de otros enemigos y evitar la detección.
«Las herramientas hostiles de comando y control (C2) que contienen astillas varían según el punto final, dependiendo del túnel Cloudflare para mantener el comando y el control secretos a largo plazo», dijeron los investigadores Christina Johns, Chris Brook y Tyler Edmonds.
El ataque aprovecha el defecto de seguridad focal máxima de Apache ActivemQ (CVE-2023-46604, puntaje CVSS: 10.0). Fue tratado a fines de octubre de 2023.
Desde entonces, las fallas de seguridad han estado bajo una intensa explotación, y los actores de múltiples amenazas lo han aprovechado para implementar una amplia gama de cargas útiles, incluidos el ransomware Hellokitty, el Rootkits de Linux, el malware de Botnet Gotitan y el Shell de Godzilla.
La actividad de ataque detectada por Red Canary ha sido observada por los actores de amenaza que aprovechan el acceso para modificar las configuraciones SSHD existentes para habilitar los inicios de sesión de la raíz, lo que permite un mayor acceso para soltar el descargador previamente desconocido doblado DripDroppers.
Dripdropper, un binario de ejecutable de Pyinstaller y formato vinculable (ELF), debe ejecutar una contraseña para resistir el análisis. También nos comunicamos con las cuentas de Dropbox controladas por los atacantes y una vez más explicamos cómo los actores de amenaza dependen cada vez más de los servicios legítimos, fusionando con actividad de red regular y detección de pasos secundarios.
En última instancia, actúa como un conducto para dos archivos. Uno de ellos facilita varios conjuntos de acciones en una variedad de puntos finales, desde procesos de monitoreo hasta contactar a Dropbox. La persistencia de los archivos caídos se logra cambiando el archivo 0anacron, /etc/cron.daily, /etc/cron.weekly, /etc/cron.monthly Directorios que están presentes en /etc/cron.hurly.
El segundo archivo descartado por DripDropper está diseñado para contactar a Dropbox para recibir comandos, pero los archivos de configuración existentes asociados con SSH también se modificarán. La etapa final implica que los atacantes descargan de los parches Apache Maven en CVE-2023-46604, conectando efectivamente las fallas.
«Parchear una vulnerabilidad no interrumpe la operación, ya que ya se han establecido otros mecanismos de persistencia para el acceso continuo», dijeron los investigadores.
Ciertamente es raro, pero esta técnica no es nada nuevo. El mes pasado, la agencia nacional de ciberseguridad francesa ANSSI detalló a los corredores de acceso temprano en China y Nexus, que adoptaron el mismo enfoque para garantizar el acceso al sistema y evitar que otros actores de amenazas enmascaran los vectores de acceso iniciales que se usaron por primera vez utilizando los inconvenientes.
Esta campaña proporciona recordatorios oportunos de por qué su organización necesita parchear de manera oportuna, restringe el acceso a los servicios internos al configurar las reglas de ingreso a una dirección IP de confianza o VPN, monitoreando el inicio de sesión en su entorno en la nube y marca la actividad de los valores atípicos.
Source link
