Infiltratore corregge il brevetto, assicurando una posizione per impedire l'accesso ai concorrenti
In un'inquietante piega degli eventi, è stato osservato un nuovo downloader, denominato 'DripDropper', in un recente attacco a endpoint Linux basati sul cloud. Questa entità dannosa, un'eseguibile PyInstaller crittografato e un file in formato linkabile, è stato scaricato durante una nuova sessione avviata dal demone Secure Shell (SSH) (sshd).
Le azioni dei cybercriminali, tra cui il monitoraggio dei processi, il contatto con un account Dropbox per ulteriori istruzioni e la preparazione del sistema per l'accesso persistente aggiuntivo alterando la shell di login predefinita per gli account utente, rappresentano un rischio significativo per la sicurezza di questi sistemi.
La vulnerabilità sfruttata da DripDropper, CVE-2023-46604, è stata resa pubblica nel mese di ottobre 2023 e sono stati rilasciati aggiornamenti del software per correggere il bug. Tuttavia, quasi due anni dopo la divulgazione, il difetto viene ancora ampiamente sfruttato per il deployment di malware, sottolineando l'importanza di una costante manutenzione e aggiornamento dei sistemi.
La vulnerabilità consente l'esecuzione remota del codice (RCE) nei sistemi Linux a causa di una validazione insufficiente dei tipi di classi gettate nei comandi OpenWire. In un recente attacco, dopo aver ottenuto l'accesso illimitato a un sistema, i cybercriminali hanno scaricato due file JAR di ActiveMQ e hanno sostituito i file JAR esistenti nella versione vulnerabile.
Per garantire la sicurezza dei server web sui sistemi Linux basati sul cloud, è consigliabile applicare l'autenticazione obbligatoria, disabilitare l'avvio da dispositivi rimovibili a livello di BIOS, applicare permessi rigorosi sui file e sulle directory, limitare l'accesso alle directory al di fuori della radice web e attivare moduli come mod_evasive per difendersi dagli attacchi DoS.
Inoltre, configurare i servizi web per farli eseguire come un account non root può minimizzare l'impatto potenziale da compromesso. È anche consigliabile applicare controlli basati su policy per i servizi web come sshd utilizzando strumenti come Ansible e Puppet per correggere automaticamente le configurazioni errate.
In modo interessante, un cybercriminale è stato osservato mentre applicava la patch alla vulnerabilità CVE-2023-46604 in Apache ActiveMQ per garantire l'accesso esclusivo. Ciò indica che, sebbene la patching della vulnerabilità non interferisca con le operazioni dei cybercriminali, in quanto hanno stabilito altri meccanismi di persistenza per l'accesso continuo, le misure proattive possono ancora scoraggiare le minacce potenziali.
Le azioni dei cybercriminali possono ridurre la rilevazione attraverso metodi comuni come gli scanner di vulnerabilità e ridurre la probabilità di essere individuati dai difensori a causa di un altro avversario rilevato durante il tentativo di sfruttare la vulnerabilità. Ciò sottolinea la necessità di un monitoraggio e di una vigilanza continui nella cybersecurity.
Per mitigare queste minacce, è essenziale applicare patch e
Leggi anche:
- Scavare nel vasto mondo della saggezza ambientale indigena e le conseguenze legali associate
- Le principali nazioni africane progettano standard urbani puliti per il 2025
- Conoscere il bonsai di ginepro: modellare e mantenere una specie di albero senza tempo
- Taglio del ficus: metodi essenziali per la scultura e la manutenzione
