Falha do Apache ActiveMQ é explorada para implantar malware DripDropper em sistemas Linux em nuvem

Uma nova campanha de ciberataques está explorando uma vulnerabilidade de quase dois anos em um software de código aberto, o Apache ActiveMQ. Os hackers estão usando a brecha para invadir sistemas Linux na nuvem e instalar um malware chamado DripDropper.

Em uma tática incomum, após garantir o acesso inicial, os invasores corrigem a vulnerabilidade para evitar que outros hackers explorem a mesma falha, dificultando a detecção.

Essa abordagem foi identificada pela empresa de segurança Red Canary em um relatório, no qual os pesquisadores revelam que os hackers usam ferramentas como Sliver e Cloudflare Tunnels para manter o controle dos sistemas de forma discreta.

Detalhes do ataque e o papel do DripDropper

O ataque explora a falha de segurança CVE-2023-46604, que recebeu a pontuação máxima de 10.0 na escala CVSS. Essa vulnerabilidade permite a execução remota de código, permitindo que um hacker execute comandos arbitrários. Apesar de ter sido corrigida em outubro de 2023, a falha continua sendo amplamente explorada por diversos grupos de hackers que a usam para implantar uma variedade de malwares, como o HelloKitty ransomware, rootkits para Linux, o botnet GoTitan e o web shell Godzilla.

No ataque detectado pela Red Canary, os hackers usam o acesso inicial para modificar as configurações do sshd e permitir o login como usuário root. Em seguida, eles instalam o DripDropper, um novo programa de download de arquivos.

O DripDropper é um binário que requer uma senha para ser executado, o que dificulta a sua análise por especialistas. Ele se comunica com uma conta Dropbox controlada pelos invasores, uma tática que mostra a crescente dependência de serviços legítimos para se misturar ao tráfego normal de rede e evitar a detecção.

O malware baixa dois arquivos. O primeiro realiza uma série de ações, desde o monitoramento de processos até o contato com o Dropbox para novas instruções. A persistência do arquivo é garantida com a modificação de arquivos de agendamento de tarefas do sistema, o 0anacron. O segundo arquivo também se comunica com o Dropbox para receber comandos e altera as configurações de SSH, servindo como um mecanismo de acesso de backup.

A fase final do ataque é a mais surpreendente: o hacker baixa e aplica patches para a falha CVE-2023-46604 a partir do Apache Maven, corrigindo a vulnerabilidade. Os pesquisadores da Red Canary alertam que a aplicação do patch não interrompe a operação dos hackers, pois eles já estabeleceram outros mecanismos para manter o acesso aos sistemas.

Embora rara, essa técnica não é totalmente nova. A agência francesa de segurança cibernética ANSSI detalhou no mês passado um grupo hacker chinês que utilizava a mesma abordagem para garantir acesso e impedir que outros invasores usassem a mesma falha, mascarando também a forma como o acesso inicial foi obtido.

A campanha serve como um lembrete para que empresas e usuários apliquem as correções de segurança (patches) de forma rápida. Além disso, é crucial limitar o acesso a serviços internos, restringir a entrada a endereços de IP confiáveis e monitorar os registros em ambientes de nuvem para identificar atividades suspeitas.

Via - THN