Хакер «залатал дыру» в ActiveMQ после взлома, чтобы удержать контроль

Специалисты Red Canary сообщили о необычном случае атаки на облачные Linux-системы. Злоумышленник, получив доступ к инфраструктуре через уязвимость CVE-2023-46604 в Apache ActiveMQ, самостоятельно устранил эту брешь, внедрив исправление. Предполагается, что мотивом было воспрепятствование использованию аналогичного метода доступа конкурентами.

Обнаруженная в 2023 году уязвимость ActiveMQ позволяла удалённо исполнять код из-за ошибок при обработке OpenWire-команд. Несмотря на доступность обновлений, эта брешь продолжает активно использоваться, в основном для внедрения майнеров или программ-вымогателей. В рассматриваемом инциденте злоумышленник заменил уязвимые компоненты брокера сообщений на измененные JAR-файлы, что равноценно установке официального патча.

Подобная стратегия решает двойную задачу. Во-первых, она предотвращает несанкционированный доступ других атакующих. Во-вторых, при поверхностном сканировании может сложиться ложное впечатление о защищенности и обновленности сервера, в то время как злоумышленник уже закрепился в системе. Это значительно усложняет работу специалистов по кибербезопасности и автоматизированных систем обнаружения угроз.

Red Canary подчеркивает, что данный случай иллюстрирует усиливающуюся конкуренцию в киберпреступной среде. Хакеры не просто проникают в системы, но и активно устраняют уязвимости, превращая процесс исправления в инструмент для удержания контроля над захваченной инфраструктурой.