- Автор темы
- #1
Исследователи из Red Canary сообщили, что хакеры используют новую Linux-малварь DripDropper. Для этих атак преступники эксплуатируют критическую уязвимость в опенсорсном ПО Apache ActiveMQ, а затем исправляют использованный баг.
В своих атаках злоумышленники применяют старую RCE-уязвимость CVE-2023-46604, набравшую 10 баллов из 10 возможных по шкале CVSS и получившую статус критической. Напомним, что этот баг был обнаружен и исправлен в конце октября 2023 года. Проблема позволяет атакующим выполнять произвольные шелл-команды, используя сериализованные типы классов в протоколе OpenWire.
В новых атаках хакеры устанавливают бэкдор на зараженные системы и загружают два файла Java Archive (JAR), которые фактически закрывают исходную уязвимость. Исправление бага после заражения помогает злоумышленникам скрыть происходящее от сканеров уязвимостей.
Специалисты отмечают, что DripDropper защищен паролем, что затрудняет доступ и анализ малвари.
Исследователи пишут, что теоретически CVE-2023-46604 не должна быть проблемой в 2025 году, ведь ее исправили еще два года назад. Однако не все устанавливают патчи вовремя, а вендоры не помогают в этом вопросе. К примеру, Oracle выпустила патч для этой уязвимости только в январе текущего года, хотя специалисты неоднократно предупреждали об атаках с ее использованием.
В своих атаках злоумышленники применяют старую RCE-уязвимость CVE-2023-46604, набравшую 10 баллов из 10 возможных по шкале CVSS и получившую статус критической. Напомним, что этот баг был обнаружен и исправлен в конце октября 2023 года. Проблема позволяет атакующим выполнять произвольные шелл-команды, используя сериализованные типы классов в протоколе OpenWire.
В новых атаках хакеры устанавливают бэкдор на зараженные системы и загружают два файла Java Archive (JAR), которые фактически закрывают исходную уязвимость. Исправление бага после заражения помогает злоумышленникам скрыть происходящее от сканеров уязвимостей.
Доступ к системам жертв хакеры получают с помощью Sliver-импланта (легитимного инструмента для пентестеров, который нередко используется хакерами), с его помощью изменяя конфигурационный файл sshd целевой машины и получая root-доступ. Затем они загружают DripDropper — зашифрованный ELF, собранный с помощью PyInstaller, который связывается с контролируемым атакующими аккаунтом Dropbox и использует его для управления скомпрометированными Linux-серверами.
Специалисты отмечают, что DripDropper защищен паролем, что затрудняет доступ и анализ малвари.
После установки малвари и исправления уязвимости атакующие доставляют в систему новые пейлоады. Это могут быть различные инфостилеры, вымогатели или инструменты сетевого доступа, которые хакеры могут применять для продвижения по сети и заражения других машин.
Исследователи пишут, что теоретически CVE-2023-46604 не должна быть проблемой в 2025 году, ведь ее исправили еще два года назад. Однако не все устанавливают патчи вовремя, а вендоры не помогают в этом вопросе. К примеру, Oracle выпустила патч для этой уязвимости только в январе текущего года, хотя специалисты неоднократно предупреждали об атаках с ее использованием.