Bulut tabanlı Linux sistemlerini tehlikeye atmak için rakiplerin Apache ActiveMQ’da kritik bir uzaktan kod yürütme kırılganlığı olan CVE-2023-46604’ü kullandığı sofistike bir kampanya ortaya çıktı.
Bu durumda, saldırganlar, özel erişimi sürdürmek ve tespitten kaçınmak için sömürdükleri güvenlik açığını yamalıyor ve tipik olarak ulus-devlet aktörleri için ayrılmış ileri operasyonel güvenlik uygulamalarını gösteriyorlar.
Key Takeaways
1. Attackers exploit an Apache ActiveMQ vulnerability for remote access to cloud Linux systems.
2. Hackers patch the vulnerability after compromise to prevent detection.
3. New malware uses Dropbox for C2 and modifies SSH for persistent backdoor access.
Yeni ‘Dripdropper’ kötü amaçlı yazılım dağıtıldı
Kampanya, Java’da yazılmış yaygın olarak kullanılan açık kaynaklı bir mesaj komisyoncusu olan Apache Activemq’i, CVE-2023-46604’ü savunmasız sistemlerde keyfi kod yürütmek için kullanıyor.
Red Canary, düzinelerce bulut tabanlı Linux uç noktalarında keşif komutları uygulayan rakipler tespit etti ve güvenlik açığı EPSS skoruna göre yüzde 94,44 sömürü olasılığı taşıyordu.
Güvenlik araştırmacıları, bu güvenlik açığının Tellyouthepass, RansomHub, Hellokitty fidye yazılımı ve kinsing kripto para madencileri dahil olmak üzere çeşitli kötü amaçlı yazılım ailelerini dağıtmak için kullanıldığını belgelemişlerdir.
Başlangıç erişimi kazandıktan sonra, saldırganlar kalıcı erişimi sürdürmek için şerit implantları ve Cloudflare tünelleri gibi meşru araçları kullanarak sofistike komut ve kontrol altyapısı kullanıyor.
Rakipler, modern Linux dağıtımlarında tipik olarak varsayılan olarak devre dışı bırakılan kök giriş erişimini sağlayarak SSH deemon konfigürasyonlarını değiştirerek en yüksek sistem ayrıcalıklarını verir.
Tehdit aktörleri, otomatik sanal alan analizini engelleyerek bir şifre gerektiren şifreli bir Pyinstaller ELF (yürütülebilir ve bağlantılı format) dosyası olarak tanımlanan daha önce bilinmeyen bir kötü amaçlı yazılım suşu dağıtıyor.
Dripdropper, sabit kodlu taşıyıcı jetonları kullanarak düşman kontrollü Dropbox hesaplarıyla iletişim kurar ve kötü niyetli trafiği normal ağ etkinliği ile harmanlamak için meşru bulut hizmetlerinden yararlanır.
Kötü amaçlı yazılım, /etc/cron.*/ dizinleri içindeki 0anacron dosyasını değiştirerek kalıcılık oluşturur ve randomize sekiz karakterli alfabetik adlarla iki ek kötü amaçlı dosya oluşturur.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Apache Activemq (Açık Kaynak Mesaj Aracısı) |
| Darbe | Uzak Kod Yürütme (RCE) |
| Önkoşuldan istismar | Savunmasız ActiveMQ hizmetine ağ erişimi |
| CVSS 3.1 puanı | 9.8 (kritik) |
Bu ikincil yükler, SSH yapılandırma dosyalarını değiştirir ve ‘oyunlar’ kullanıcı hesabı için varsayılan oturum açma kabuğunu /bin /sh olarak değiştirerek sistemi sürekli uzaktan erişim için hazırlar.
En önemlisi, saldırganlar Repo1’den meşru Apache Activemq Jar dosyalarını indirin[.]maven[.]Korunmasız bileşenleri değiştirin ve sömürüden sonra CVE-2023-46604 etkili bir şekilde yamalayın.
Bu teknik, diğer rakiplerin aynı güvenlik açığını kullanmasını önler ve güvenlik açığı tarayıcıları yoluyla tespit olasılığını azaltarak tehlikeye atılan sistemler üzerindeki özel kontrollerini sağlar.
Kuruluşlar, sağlam günlüğü, yapılandırma izleme ve Linux ve bulut ortamlarında en az ayrıcalık ilkesi dahil olmak üzere geleneksel güvenlik açığı yönetiminin ötesine geçen kapsamlı güvenlik stratejileri uygulamalıdır.
Safely detonate suspicious files to uncover threats, enrich your investigations, and cut incident response time. Start with an ANYRUN sandbox trial →