builderall


Los actores maliciosos están aprovechando una vulnerabilidad de seguridad de casi dos años de antigüedad en Apache ActiveMQ para obtener acceso persistente a sistemas Linux en la nube e implementar un malware llamado DripDropper.


Sin embargo, en un giro inusual, se ha observado que los atacantes desconocidos han parcheado la vulnerabilidad explotada después de obtener el acceso inicial para evitar que otros adversarios la sigan explotando y evadir la detección, según informó Red Canary en un informe compartido con The Hacker News.


"Las herramientas de comando y control (C2) de los adversarios variaban según el punto final e incluían Sliver y Cloudflare Tunnels para mantener el comando y control encubiertos a largo plazo", afirmaron los investigadores Christina Johns, Chris Brook y Tyler Edmonds.


Los ataques explotan una falla de seguridad de máxima gravedad en Apache ActiveMQ (CVE-2023-46604, puntuación CVSS: 10,0), una vulnerabilidad de ejecución remota de código que podría explotarse para ejecutar comandos de shell arbitrarios. Se solucionó a finales de octubre de 2023.


Desde entonces, el defecto de seguridad ha sido objeto de una intensa explotación, y múltiples actores maliciosos lo han aprovechado para desplegar una amplia gama de payloads, entre las que se incluyen el ransomware HelloKitty, rootkits para Linux, el malware de botnet GoTitan y el shell web Godzilla.


En la actividad de ataque detectada por Red Canary, se ha observado que los actores maliciosos han aprovechado el acceso para modificar las configuraciones sshd existentes con el fin de habilitar el inicio de sesión como root, lo que les ha otorgado un acceso elevado para descargar un descargador previamente desconocido denominado DripDropper.


DripDropper, un binario PyInstaller Executable and Linkable Format (ELF), requiere una contraseña para ejecutarse con el fin de resistir el análisis. También se comunicaba con una cuenta de Dropbox controlada por el atacante, lo que ilustra una vez más cómo los actores maliciosos dependen cada vez más de servicios legítimos para mezclarse con la actividad normal de la red y eludir la detección.


El descargador sirve en última instancia como conducto para dos archivos, uno de los cuales facilita un conjunto variado de acciones en diferentes puntos finales, que van desde la supervisión de procesos hasta el contacto con Dropbox para obtener más instrucciones. La persistencia del archivo descargado se consigue modificando el archivo 0anacron presente en los directorios /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly y /etc/cron.monthly.


El segundo archivo descargado por DripDropper también está diseñado para ponerse en contacto con Dropbox con el fin de recibir comandos, al tiempo que modifica los archivos de configuración existentes relacionados con SSH, probablemente como mecanismo de respaldo para garantizar un acceso persistente. La etapa final consiste en que el atacante descargue desde Apache Maven los parches para CVE-2023-46604, lo que permite corregir eficazmente la vulnerabilidad.


"La aplicación de parches a la vulnerabilidad no interrumpe sus operaciones, ya que ya han establecido otros mecanismos de persistencia para mantener el acceso", afirman los investigadores.


Aunque sin duda es poco habitual, esta técnica no es nueva. El mes pasado, la agencia nacional de ciberseguridad francesa ANSSI detalló un caso de un agente de acceso inicial vinculado a China que empleaba el mismo enfoque para garantizar el acceso a los sistemas y evitar que otros actores maliciosos aprovecharan las deficiencias para entrar y ocultar el vector de acceso inicial utilizado en primer lugar.


La campaña ofrece un recordatorio oportuno de por qué las organizaciones deben aplicar parches de manera oportuna, limitar el acceso a los servicios internos configurando reglas de entrada a direcciones IP o VPN de confianza, y supervisar los registros de los entornos en la nube para detectar actividades anómalas.


Fuente: thehackernews