Apache ActiveMQ 漏洞被利用在云 Linux 系统上部署 DripDropper 恶意软件

威胁行为者正在利用 Apache ActiveMQ 中一个近两年来的安全漏洞来获取对云 Linux 系统的持续访问权限并部署名为DripDropper的恶意软件。

但 Red Canary在与 The Hacker News 分享的一份报告中表示，不同寻常的是，未知攻击者在获得初始访问权限后，会修补被利用的漏洞，以防止被其他对手进一步利用并逃避检测。

研究人员克里斯蒂娜·约翰斯 (Christina Johns)、克里斯·布鲁克 (Chris Brook) 和泰勒·埃德蒙兹 (Tyler Edmonds) 表示： “后续对手的命令和控制 (C2) 工具因端点而异，包括Sliver和 Cloudflare Tunnels，以长期保持隐蔽的命令和控制。”

此次攻击利用了 Apache ActiveMQ 中一个最高严重性安全漏洞 ( CVE-2023-46604，CVSS 评分：10.0)，这是一个远程代码执行漏洞，可导致运行任意 Shell 命令。该漏洞已于 2023 年 10 月下旬得到修复。

网络安全
此后，该安全漏洞遭到严重利用，多个威胁行为者利用它来部署各种有效载荷，包括HelloKitty 勒索软件、Linux rootkit、GoTitan僵尸网络恶意软件和Godzilla Web Shell。

在 Red Canary 检测到的攻击活动中，我们观察到威胁行为者利用访问权限修改现有的 sshd 配置以启用 root 登录，从而授予他们提升的访问权限以投放名为 DripDropper 的先前未知的下载程序。

DripDropper 是一个 PyInstaller 可执行和可链接格式 (ELF) 二进制文件，需要密码才能运行，以抵御分析。它还与攻击者控制的 Dropbox 帐户进行通信，这再次说明了威胁行为者越来越依赖合法服务来融入常规网络活动并规避检测。

下载程序最终充当两个文件的管道，其中一个文件用于在不同端点执行各种操作，包括进程监控、联系 Dropbox 获取进一步指令等。通过修改/etc/cron.hourly、/etc/cron.daily、/etc/cron.weekly、/etc/cron.monthly 目录中的0anacron文件，可以实现被下载文件的持久化。

DripDropper 投放的第二个文件也用于联系 Dropbox 接收命令，同时还会修改与 SSH 相关的现有配置文件，这可能是为了实现持久访问的备份机制。最后阶段，攻击者会从 Apache Maven 下载 CVE-2023-46604 的补丁程序，从而有效地修复该漏洞。

研究人员表示：“修补漏洞不会扰乱他们的运营，因为他们已经建立了其他持久机制以实现持续访问。”

身份安全风险评估
虽然这种技术确实罕见，但并非新鲜事物。上个月，法国国家网络安全机构 ANSSI详细介绍了一个与中国有联系的初始访问代理，它采用相同的方法来确保系统访问安全，并防止其他威胁行为者利用这些漏洞入侵并掩盖最初使用的初始访问向量。

该活动及时提醒了组织为什么需要及时应用补丁、通过配置受信任的 IP 地址或 VPN 的入口规则来限制对内部服务的访问以及监控云环境的日志以标记异常活动。