Кибербезопасность продолжает оставаться полем для неожиданных тактических ходов: исследователи из Red Canary обнаружили, что злоумышленники, эксплуатирующие уязвимость в Apache ActiveMQ, после успешного проникновения на серверы устанавливают официальные патчи, чтобы закрыть дыру для других хакеров. Этот нестандартный подход зафиксирован в десятках случаев на облачных Linux-серверах и свидетельствует о стратегии, направленной на сохранение эксклюзивного контроля над скомпрометированными системами.
Атаки нацелены на CVE-2023-46604 - критическую уязвимость удаленного выполнения кода в Apache ActiveMQ, популярном брокере сообщений с открытым исходным кодом. Уязвимость, опубликованная 27 октября 2023 года, имеет высший балл по шкале CVSS 3.1 - 10.0, что подчеркивает её серьёзность. Несмотря на то, что с момента её обнаружения прошло несколько месяцев, вероятность эксплуатации остаётся крайне высокой - 94,44% согласно рейтингу EPSS, что делает её привлекательной целью для киберпреступников.
Многоэтапная атака начинается с эксплуатации CVE-2023-46604, после чего злоумышленники развертывают инструменты для управления и контроля, включая импланты Sliver и туннели Cloudflare, что обеспечивает им устойчивый доступ. В некоторых случаях изменяются конфигурации SSH для разрешения входа от имени root, что предоставляет максимальные привилегии в системе.
Особенностью кампании стало использование ранее неизвестного вредоносного ПО под названием DripDropper. Это зашифрованный исполняемый файл PyInstaller, для запуска которого требуется пароль. Инструмент взаимодействует с контролируемыми злоумышленниками аккаунтами Dropbox через жестко заданные токены, демонстрируя, как атакующие используют легальные облачные сервисы для маскировки вредоносного трафика под обычный сетевой обмен.
DripDropper создает на зараженных системах два файла. Первый выполняет различные функции, включая мониторинг процессов и обеспечение устойчивости через модификацию заданий cron. Второй файл, со случайно сгенерированным восьмисимвольным именем, изменяет конфигурации SSH и подготавливает систему для механизмов дополнительного сохранения доступа.
Самым необычным элементом атаки стало то, что после получения контроля злоумышленники загружали легитимные JAR-файлы ActiveMQ из репозиториев Apache Maven, чтобы устранить уязвимость CVE-2023-46604 на уже скомпрометированных серверах. Этот шаг преследует двойную цель: снижение риска обнаружения системами сканирования уязвимостей и блокировка доступа для других киберпреступнических групп, которые могут попытаться использовать ту же самую брешь.
Как отмечают исследователи, такой подход эффективно позволяет «запереть» систему от конкурентов, гарантируя эксклюзивность доступа первоначальным нарушителям. Подобная тактика наблюдается и в атаках с использованием других критических уязвимостей, что указывает на формирующийся тренд среди продвинутых постоянных угроз.
Данная кампания в очередной раз подчеркивает сохраняющиеся риски для облачной Linux-инфраструктуры. CVE-2023-46604 продолжает использоваться для развертывания различных семейств вредоносного ПО, включая TellYouThePass, ransomware Ransomhub и HelloKitty, а также криптомайнер Kinsing. Продолжающаяся эксплуатация этой уязвимости наглядно демонстрирует, насколько опасными могут быть старые flaws в условиях быстрорастущих облачных сред.
Эксперты в области безопасности акцентируют внимание на том, что чистые результаты сканирования на уязвимости не гарантируют защищенности системы, особенно когда sophistication противника включает техники патчинга после эксплуатации. Организациям необходимо внедрять комплексный мониторинг, управление SSH на основе политик и процедуры активной проверки установленных обновлений для защиты от этих развивающихся угроз.
Обнаруженная кампания ярко иллюстрирует растущий интерес злоумышленников к Linux-системам на фоне ускоряющегося перевода enterprise-инфраструктуры в облака.
