Забудьте, что патчи всегда спасают: если его установил хакер, вы уже в ловушке

Команда Red Canary выявила нетипичную атаку, в которой использовалось новое вредоносное ПО под названием DripDropper, нацеленное на Linux-серверы в облаке. Злоумышленники проникали в системы, эксплуатируя уязвимость CVE-2023-46604 в Apache ActiveMQ, а затем, закрепившись, устанавливали патч, устраняющий эту же уязвимость. Этот неординарный шаг позволял им не только скрывать свою деятельность, но и предотвращать доступ конкурентов, обеспечивая полный контроль над зараженным сервером.

Аналитики отметили выполнение разведывательных команд на множестве уязвимых хостов. На некоторых из них атакующие внедряли инструменты удалённого администрирования, такие как Sliver и туннели Cloudflare, обеспечивая скрытую и продолжительную связь с C2-серверами. В одном из случаев они изменяли параметры sshd, включая возможность входа под root, и запускали загрузчик DripDropper.

DripDropper представляет собой ELF-файл, сгенерированный с помощью PyInstaller, защищённый паролем и взаимодействующий с Dropbox-аккаунтом злоумышленников через токен. Этот инструмент создаёт дополнительные вредоносные файлы, обеспечивает их запуск через cron и вносит изменения в SSH-конфигурации, предоставляя операторам новые скрытые пути входа. Использование общедоступных облачных сервисов, таких как Dropbox или Telegram, в качестве C2-каналов, позволяет маскировать вредоносную активность под обычный сетевой трафик.

В завершение атаки происходило скачивание и установка официальных JAR-патчей ActiveMQ с домена Apache Maven. Таким образом, злоумышленники устраняли уязвимость, через которую сами проникли, уменьшая вероятность повторного сканирования и вмешательства других хакерских групп.

Эксперты подчеркивают, что эксплуатация CVE-2023-46604 продолжается, несмотря на то, что она не новая, и используется не только для распространения DripDropper, но и для вредоносов TellYouThePass, HelloKitty или майнера Kinsing.

Для снижения рисков организациям рекомендуется усилить защиту Linux-сред, особенно в облаке: использовать автоматизированное управление конфигурациями с помощью Ansible или Puppet, отключать root-входы, запускать сервисы от непривилегированных пользователей, оперативно устанавливать патчи и контролировать правила доступа к сети. Важно также отслеживать логи облачных сред, чтобы своевременно обнаруживать подозрительную активность.

Этот инцидент показывает, что даже «вылеченная» уязвимость не гарантирует безопасность, если исправление было установлено самими злоумышленниками. Тщательная документация обновлений и оперативное реагирование администраторов остаются ключевыми элементами защиты критически важных систем.