Tehdit aktörleri, Cloud Linux sistemlerine kalıcı erişim elde etmek ve kötü amaçlı yazılımları dağıtmak için Apache Activemq’te yaklaşık iki yıllık bir güvenlik kusurunu kullanıyor. Damla Damlalar.
Ancak alışılmadık bir bükülmede, bilinmeyen saldırganların, diğer rakipler tarafından daha fazla sömürülmeyi önlemek ve algılamadan kaçmak için ilk erişimi sağladıktan sonra sömürülen kırılganlığı yamaladığını gözlemledi, Red Canary, hacker News ile paylaşılan bir raporda.
Araştırmacılar Christina Johns ve Tyler Edmonds, “Aşağıdaki düşman komuta ve kontrol (C2) araçları, son noktaya göre değişen ve şeridi ve uzun vadede gizli komuta ve kontrolü korumak için Cloudflare tünellerini içeriyordu.” Dedi.
Saldırılar, keyfi kabuk komutlarını çalıştırmak için kullanılabilecek bir uzaktan kod yürütme kırılganlığı olan Apache Activemq (CVE-2023-46604, CVSS Puan: 10.0) ‘da maksimum bireysel güvenlik kusurundan yararlanır. Ekim 2023’ün sonlarında ele alındı.
Güvenlik kusuru, o zamandan beri ağır sömürü altına girdi ve birden fazla tehdit aktör, Hellokitty fidye yazılımı, Linux Rootkits, Gotitan Botnet kötü amaçlı yazılım ve Godzilla Web Shell dahil olmak üzere çok çeşitli yükleri dağıtmak için yararlandı.
Kırmızı Canary tarafından tespit edilen saldırı etkinliğinde, tehdit aktörleri, kök girişini sağlamak için mevcut SSHD yapılandırmalarını değiştirmek için erişimden yararlanarak gözlemlenerek, daha önce bilinmeyen bir indiriciyi damlatan bir dripdropper olarak bırakmalarına yüksek erişim sağladı.
Pyinstaller yürütülebilir ve bağlantılı bir format (ELF) ikili, damla, analize direnmek için bir şifre gerektirir. Ayrıca, saldırgan kontrollü bir Dropbox hesabı ile iletişim kurdu ve bir kez daha tehdit aktörlerinin düzenli ağ etkinliği ve kenar tespiti ile karışmak için meşru hizmetlere nasıl güvendiklerini gösterdi.
İndirici nihayetinde, biri daha fazla talimat için süreç izlemeden Dropbox ile temasa geçmeye kadar farklı uç noktalarda çeşitli eylemler kümesini kolaylaştıran iki dosya için bir kanal görevi görür. Bırakılan dosyanın kalıcılığı, /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly, /etc/cron.monthly dizinleri içinde bulunan 0anacron dosyasını değiştirerek elde edilir.
DripDropper tarafından bırakılan ikinci dosya, komut almak için Dropbox ile iletişime geçmek üzere tasarlanırken, aynı zamanda SSH ile ilgili mevcut yapılandırma dosyalarını, muhtemelen kalıcı erişim için bir yedekleme mekanizması olarak değiştirir. Son aşama, CVE-2023-46604 için Apache Maven yamalarından indirilen saldırganın kusurunu etkili bir şekilde takmasını gerektiriyor.
Araştırmacılar, “Güvenlik açığını yamalamak, sürekli erişim için başka kalıcılık mekanizmaları oluşturdukları için operasyonlarını bozmaz.” Dedi.
Kesinlikle nadir olsa da, teknik yeni değil. Geçen ay, Fransa’nın ulusal siber güvenlik ajansı Anssi, sistemlere erişimi güvence altına almak ve diğer tehdit aktörlerinin ilk etapta kullanılan ilk erişim vektörünü almak ve maskelemek için eksiklikleri kullanmasını önlemek için aynı yaklaşımı kullanan bir Çin-Nexus başlangıç erişim brokeri detaylandırdı.
Kampanya, kuruluşların neden zamanında yamaları uygulamaları gerektiğine dair zamanında bir hatırlatma sunuyor, giriş kurallarını güvenilir IP adreslerine veya VPN’lere yapılandırarak dahili hizmetlere erişimi sınırlandırıyor ve bulut ortamlarını anormal etkinliği işaretlemek için bulut ortamlarını izliyor.