Dreigingsacteurs exploiteren een bijna twee jaar oude beveiligingsfout in Apache ActivEmq om persistente toegang te krijgen tot cloud Linux-systemen en malware te implementeren met de naam Dripdropper.
Maar in een ongebruikelijke wending zijn de onbekende aanvallers waargenomen die de geëxploiteerde kwetsbaarheid patchen na het beveiligen van de eerste toegang om verdere uitbuiting door andere tegenstanders te voorkomen en detectie te ontwijken, zei Red Canary in een rapport gedeeld met het Hacker News.
“Follow-on tegenstander command-and-control (C2) -hulpmiddelen varieerden per eindpunt en omvatten Sliver en CloudFlare-tunnels om geheime commando en controle over de lange termijn te handhaven,” zeiden onderzoekers Christina Johns, Chris Brook en Tyler Edmonds.
De aanvallen maken gebruik van een beveiligingsfout van maximaal ernstige beveiliging in Apache ActiveMQ (CVE-2023-46604, CVSS-score: 10.0), een externe code-uitvoeringskwetsbaarheid die kan worden benut om willekeurige shell-opdrachten uit te voeren. Het werd geadresseerd eind oktober 2023.
Het beveiligingsdefect is sindsdien onder zware uitbuiting gekomen, waarbij meerdere dreigingsacteurs het gebruik maken van een breed scala aan payloads, waaronder Hellokitty Ransomware, Linux Rootkits, Gotitan Botnet Malware en Godzilla Web Shell.
In de aanvalsactiviteit die door Red Canary is gedetecteerd, zijn de dreigingsactoren waargenomen met behulp van de toegang om bestaande SSHD -configuraties te wijzigen om root -inloggen mogelijk te maken, waardoor ze verhoogde toegang krijgen om een voorheen onbekende downloader te laten vallen, Dipdropper.
Een Pyinstaller uitvoerbaar en Linkable Format (ELF) binair, Dripdropper vereist een wachtwoord om te worden uitgevoerd in een poging om analyse te weerstaan. Het communiceerde ook met een aanvaller-gecontroleerd dropbox-account, dat opnieuw illustreert hoe dreigingsacteurs in toenemende mate vertrouwen op legitieme diensten om in te mengen met reguliere netwerkactiviteit en detectie van het omzeilen.
De downloader dient uiteindelijk als een leiding voor twee bestanden, waarvan er één een gevarieerde reeks acties op verschillende eindpunten vergemakkelijkt, variërend van procesmonitoring tot contact opnemen met Dropbox voor verdere instructies. Doorzettingsvermogen van het gevallen bestand wordt bereikt door het 0anacron -bestand te wijzigen dat aanwezig is in /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly, /etc/cron.monthly Directories.
Het tweede bestand dat door Dripdropper is gevallen, is ook ontworpen om contact op te nemen met Dropbox voor het ontvangen van opdrachten, terwijl ook bestaande configuratiebestanden met betrekking tot SSH worden gewijzigd, waarschijnlijk als een back -upmechanisme voor aanhoudende toegang. De laatste fase houdt in dat de aanvaller wordt gedownload van Apache Maven Patches voor CVE-2023-46604, waardoor de fout effectief wordt aangesloten.
“Het patchen van de kwetsbaarheid verstoort hun activiteiten niet, omdat ze al andere persistentiemechanismen hebben vastgesteld voor voortdurende toegang,” zeiden de onderzoekers.
Hoewel zeker zeldzaam, is de techniek niet nieuw. Vorige maand beschreef het nationale cybersecurity-bureau ANSSI van Frankrijk een China-Nexus initiële toegangsmakelaar met dezelfde aanpak om toegang tot systemen te beveiligen en te voorkomen dat andere bedreigingsactoren de tekortkomingen gebruiken om binnen te komen en de initiële toegangsvector te maskeren die op de eerste plaats wordt gebruikt.
De campagne biedt een tijdige herinnering aan waarom organisaties patches tijdig moeten toepassen, de toegang tot interne services moeten beperken door Ingress -regels te configureren tot vertrouwde IP -adressen of VPN’s en logboekregistratie te controleren voor cloudomgevingen om afwijkende activiteit te markeren.
