Vulnerabilidad de Apache ActiveMQ explotada para implementar malware

Iniciado por AXCESS, Agosto 19, 2025, 06:41:16 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 19, 2025, 06:41:16 PM


Los actores de amenazas están explotando una falla de seguridad de casi dos años de antigüedad en Apache ActiveMQ para obtener acceso persistente a sistemas Linux en la nube e implementar malware llamado DripDropper.

Sin embargo, en un giro inusual, se ha observado que los atacantes desconocidos han parcheado la vulnerabilidad explotada tras asegurar el acceso inicial para evitar que otros adversarios la exploten y evadir la detección, según informó Red Canary en un informe compartido.

"Las herramientas de comando y control (C2) de seguimiento del adversario variaban según el endpoint e incluían Sliver y túneles de Cloudflare para mantener el comando y control encubiertos a largo plazo", afirmaron los investigadores Christina Johns, Chris Brook y Tyler Edmonds.

Los ataques explotan una falla de seguridad de máxima gravedad en Apache ActiveMQ ( CVE-2023-46604, puntuación CVSS: 10.0 ), una vulnerabilidad de ejecución remota de código que podría explotarse para ejecutar comandos de shell arbitrarios. Esta vulnerabilidad se solucionó a finales de octubre de 2023.

Desde entonces, la falla de seguridad ha sido objeto de una intensa explotación, y múltiples actores de amenazas la han aprovechado para desplegar una amplia gama de cargas útiles, incluyendo ransomware HelloKitty, rootkits de Linux, malware de la botnet GoTitan y el shell web Godzilla.

En la actividad de ataque detectada por Red Canary, se ha observado que los actores de amenazas aprovechan el acceso para modificar las configuraciones sshd existentes y habilitar el inicio de sesión root, lo que les otorga acceso elevado para instalar un descargador previamente desconocido llamado DripDropper.

DripDropper, un binario con formato ejecutable y enlazable (ELF) de PyInstaller, requiere una contraseña para ejecutarse con el fin de evitar el análisis. También se comunicó con una cuenta de Dropbox controlada por el atacante, lo que ilustra una vez más cómo los actores de amenazas recurren cada vez más a servicios legítimos para integrarse en la actividad normal de la red y eludir la detección.

El descargador sirve, en última instancia, como conducto para dos archivos, uno de los cuales facilita diversas acciones en diferentes endpoints, desde la monitorización de procesos hasta contactar con Dropbox para obtener más instrucciones. La persistencia del archivo descargado se logra modificando el archivo 0anacron presente en los directorios /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly y /etc/cron.monthly.

El segundo archivo descargado por DripDropper también está diseñado para contactar con Dropbox para recibir comandos, a la vez que modifica los archivos de configuración existentes relacionados con SSH, probablemente como mecanismo de respaldo para el acceso persistente. La etapa final implica que el atacante descargue de Apache Maven los parches para CVE-2023-46604, solucionando así la falla.

"Parchear la vulnerabilidad no interrumpe sus operaciones, ya que ya han establecido otros mecanismos de persistencia para el acceso continuo", afirmaron los investigadores.

Si bien es ciertamente poco común, la técnica no es nueva. El mes pasado, la agencia nacional de ciberseguridad francesa, ANSSI, detalló un agente de acceso inicial con nexo con China que emplea el mismo enfoque para proteger el acceso a los sistemas e impedir que otros actores de amenazas aprovechen las deficiencias para acceder y enmascarar el vector de acceso inicial utilizado inicialmente.

La campaña ofrece un oportuno recordatorio de por qué las organizaciones necesitan aplicar parches de forma oportuna, limitar el acceso a los servicios internos configurando reglas de entrada a direcciones IP o VPN de confianza, y supervisar los registros de los entornos en la nube para detectar actividad anómala.

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario