Hacker utilizza una vulnerabilità per l'utilizzo successivo, impedendo l'accesso ai rivali
In un'incidente di sicurezza informatica recente, i cybercriminali hanno sfruttato un downloader precedentemente sconosciuto chiamato 'DripDropper' per ottenere l'accesso non autorizzato ai punti di fine Linux basati sul cloud.
Gli attaccanti hanno inizialmente preso di mira la vulnerabilità CVE-2023-46604 in Apache ActiveMQ, che consente l'esecuzione remota del codice nei sistemi Linux. Questa vulnerabilità è stata resa pubblica a ottobre 2023 e sono stati emessi aggiornamenti del software per risolverla. Tuttavia, i cybercriminali sono riusciti a patchare la vulnerabilità, potenzialmente eludendo la rilevazione da parte di metodi comuni come gli scanner di vulnerabilità e bypassando i difensori.
Dopo aver ottenuto l'accesso iniziale, gli attaccanti hanno sostituito i file JAR esistenti nella versione vulnerabile con due file JAR di ActiveMQ, che costituiscono una patch legittima per CVE-2023-46604. Sotto una nuova sessione avviata dal processo del server OpenSSH (sshd), l'avversario ha quindi scaricato DripDropper, un'eseguibile PyInstaller crittografato.
Sembra che DripDropper comunichi con un account Dropbox controllato dall'avversario utilizzando un token di portatore hardcoded. I file dannosi creati da DripDropper intraprendono azioni come il monitoraggio dei processi, la comunicazione con l'account Dropbox per ulteriori istruzioni e la preparazione del sistema per l'accesso persistente aggiuntivo.
Per garantire l'accesso a lungo termine, il patching è stato eseguito post-esploit. Tuttavia, le operazioni dei cybercriminali non sono state interrotte poiché hanno stabilito altri meccanismi di persistenza per l'accesso continuo.
Per proteggersi da attacchi del genere, si consiglia di attuare l'autenticazione obbligatoria per i servizi web e i controlli basati sulla politica per i servizi web come sshd utilizzando strumenti come Ansible e Puppet per riparare automaticamente le configurazioni errate. È anche consigliabile configurare i servizi web per eseguirli come account non root per minimizzare l'impatto potenziale dal compromesso.
L'organizzazione che ha raccomandato queste misure di protezione è SySS GmbH, un fornitore di analisi della sicurezza e di raccomandazioni di rafforzamento per le applicazioni web e i server nei progetti cloud.
Inoltre, è stato osservato l'uso dell'impianto Sliver nelle operazioni degli attaccanti. Sliver è un framework post-exploit popolare utilizzato per il comando e il controllo, il movimento laterale e i compiti post-exploit. In questo caso, gli attaccanti hanno modificato il file di configurazione sshd per abilitare l'accesso root, consentendo l'installazione dell'impianto Sliver.
Despite the patching of the vulnerability, it is still widely targeted for malware deployment, enabling attacks such as ransomware and cryptomining. This underscores the prevalence of exploitation and the need for continued vigilance in the cybersecurity landscape.
Leggi anche:
- Le cellule immunitarie nell'intestino possono contribuire allo sviluppo dell'Alzheimer
- Titolo di prima pagina: Eventi mondiali
- Esplorare le prospettive industriali del silicio nell'economia globale!
- La pioggia ha interrotto il primo incontro di Trump con i leader tecnologici nel Rose Garden, dopo la sua decisione di pavimentare il prato bagnato per ridurre al minimo i potenziali problemi meteorologici.
