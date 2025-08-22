Интеграция
Неизвестный хакер серийно атакует ПО Apache помощью древней уязвимости

Неизвестные злоумышленники используют давно исправленную 10-балльную уязвимость для распространения вредоносов. Получив доступ в системы жертв, они устанавливают на них патчи.

Запароленный вредонос

Неизвестный актор начал серийно атаковать установки , используя уязвимость, обнаруженную еще в 2023 г. Тогда же она была устранена разработчиками продукта, но, очевидно, что патчи были установлены далеко не везде, где следовало бы.

По сведениям исследователей компании Red Canary, после получения доступа в скомпрометированную систему злоумышленники разворачивают различные инструменты для установления продолжительного контроля над ней, которые могут включать C2-фреймворк Sliver (который сам по себе является опенсорсным аналогом Cobalt Strike и Metasploit) и туннельные соединения Cloudflare. Выбор инструментов, по-видимому, зависит от конкретной мишени.

ActiveMQ представляет собой открытый пакет, написанный на Java. Он используется чаще всего для реализации обмена данными между различными приложениями. В 2023 г. в нем нашли 10-балльную уязвимость CVE-2023-46604, которая позволяла запускать произвольные шелл-команды. Разработчики пакета устранили ее в октябре 2023 г.

hack700.jpg

Photo by Markus Spiske on Unsplash
Уязвимость в Apache ActiveMQ используется для загрузки вредоноса DripDropper в системы Linux в облаках

Позднее уязвимость подверглась массированной эксплуатации: ее пытались использовать операторы шифровальщика HelloKitty, ботнет GoTitan, вредонос Godzilla и авторы руткитов под Linux.

В ходе кампании, выявленной Red Canary, злоумышленники с помощью уязвимости получают root-доступ посредством модификации настроек sshd, затем загружают в систему дроппер DripDropper (в исполняемом формате ELF).

Тот, в свою очередь, погружает два новых файла с разным функциональным назначением.

Что обращает на себя внимание, так это то, что DripDropper требует пароля для запуска. Очевидно, это механизм защиты от попыток его проанализировать.

Кроме того, DripDropper обращается к аккаунту Dropbox для получения новых инструкций и скачивания других файлов.

Упомянутые файлы, которые подгружает DripDropper, также обращаются к Dropbox за инструкциями. В публикации исследователей не уточняется, какие вредоносные функции они выполняют помимо этого, сказано лишь, что один из вредоносов осуществляет мониторинг трафика, и оба снабжены механизмами постоянства присутствия - через модификацию файлов 0anacron (в каталогах /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly и /etc/cron.monthly) и перенастройку файлов, относящихся к SSH.

Чужие здесь не ходят

На последнем этапе операторы вредоноса устанавливают на скомпрометированную систему патч к вышеупомянутой уязвимости: тем самым они сохраняют доступ к ней, но препятствуют новым атакам на ту же уязвимость со стороны других акторов.

«Это означает, что наличие патча само по себе может быть не свидетельством безопасности системы, а, наоборот, признаком компрометации», - замечает Дмитрий Пешков, эксперт по информационной безопасности компании SEQ.« Соответственно, необходимо проверить не только патч и время его установки, но и перечисленные в исследовании индикаторы компрометации, такие как изменения в планировщиках и подозрительные коммуникации с Dropbox».

Использование легитимных ресурсов и утилит - распространенная практика в киберкриминальной среде, да и установки патчей после эксплуатации уязвимостей также не является особой экзотикой. В любом случае, первопричиной атак является то, что на уязвимые продукты не установили вовремя необходимые обновления.

Роман Георгиев

