Поделиться
Неизвестный хакер серийно атакует ПО Apache помощью древней уязвимости
Неизвестные злоумышленники используют давно исправленную 10-балльную уязвимость для распространения вредоносов. Получив доступ в системы жертв, они устанавливают на них патчи.
Запароленный вредонос
Неизвестный актор начал серийно атаковать установки , используя уязвимость, обнаруженную еще в 2023 г. Тогда же она была устранена разработчиками продукта, но, очевидно, что патчи были установлены далеко не везде, где следовало бы.
По сведениям исследователей компании Red Canary, после получения доступа в скомпрометированную систему злоумышленники разворачивают различные инструменты для установления продолжительного контроля над ней, которые могут включать C2-фреймворк Sliver (который сам по себе является опенсорсным аналогом Cobalt Strike и Metasploit) и туннельные соединения Cloudflare. Выбор инструментов, по-видимому, зависит от конкретной мишени.
ActiveMQ представляет собой открытый пакет, написанный на Java. Он используется чаще всего для реализации обмена данными между различными приложениями. В 2023 г. в нем нашли 10-балльную уязвимость CVE-2023-46604, которая позволяла запускать произвольные шелл-команды. Разработчики пакета устранили ее в октябре 2023 г.
Позднее уязвимость подверглась массированной эксплуатации: ее пытались использовать операторы шифровальщика HelloKitty, ботнет GoTitan, вредонос Godzilla и авторы руткитов под Linux.
В ходе кампании, выявленной Red Canary, злоумышленники с помощью уязвимости получают root-доступ посредством модификации настроек sshd, затем загружают в систему дроппер DripDropper (в исполняемом формате ELF).
Тот, в свою очередь, погружает два новых файла с разным функциональным назначением.
Что обращает на себя внимание, так это то, что DripDropper требует пароля для запуска. Очевидно, это механизм защиты от попыток его проанализировать.
Кроме того, DripDropper обращается к аккаунту Dropbox для получения новых инструкций и скачивания других файлов.
Упомянутые файлы, которые подгружает DripDropper, также обращаются к Dropbox за инструкциями. В публикации исследователей не уточняется, какие вредоносные функции они выполняют помимо этого, сказано лишь, что один из вредоносов осуществляет мониторинг трафика, и оба снабжены механизмами постоянства присутствия - через модификацию файлов 0anacron (в каталогах /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly и /etc/cron.monthly) и перенастройку файлов, относящихся к SSH.
Чужие здесь не ходят
На последнем этапе операторы вредоноса устанавливают на скомпрометированную систему патч к вышеупомянутой уязвимости: тем самым они сохраняют доступ к ней, но препятствуют новым атакам на ту же уязвимость со стороны других акторов.
«Это означает, что наличие патча само по себе может быть не свидетельством безопасности системы, а, наоборот, признаком компрометации», - замечает Дмитрий Пешков, эксперт по информационной безопасности компании SEQ.« Соответственно, необходимо проверить не только патч и время его установки, но и перечисленные в исследовании индикаторы компрометации, такие как изменения в планировщиках и подозрительные коммуникации с Dropbox».
Использование легитимных ресурсов и утилит - распространенная практика в киберкриминальной среде, да и установки патчей после эксплуатации уязвимостей также не является особой экзотикой. В любом случае, первопричиной атак является то, что на уязвимые продукты не установили вовремя необходимые обновления.
Короткая ссылка
