AUG 19, 2025RAVIE LAKSHMANANINUX / AMENAZA DE MALWARE ALIMENTOS ESTÁN EXPLOTANDO UN FOLA DE SEGURIDAD DE CASA DE APACHOS DE APACHE APACHE para obtener acceso persistente a los sistemas de Linux Linux y desplegar malware llamado DripDropper. Pero en un giro inusual, se ha observado a los atacantes desconocidos parchear la vulnerabilidad explotada después de asegurar el acceso inicial para evitar una mayor explotación por parte de otros adversarios y evadir la detección, dijo Red Canary en un informe compartido con las noticias de los hackers. «Las herramientas de seguimiento de comando y control del adversario (C2) variaban según el punto final e incluyeron Sliver, y los túneles de CloudFlare para mantener el comando y el control encubiertos sobre el largo plazo», dijeron los investigadores Christina Johns, Chris Brook y Tyler Edmonds. Los ataques explotan una falla de seguridad de severidad máxima en Apache ActivemQ (CVE-2023-46604, puntaje CVSS: 10.0), una vulnerabilidad de ejecución de código remoto que podría explotarse para ejecutar comandos de shell arbitrary. Se abordó a fines de octubre de 2023. El defecto de seguridad ha sido bajo una gran explotación, con múltiples actores de amenazas que lo aprovechan para implementar una amplia gama de cargas útiles, incluidos ransomware Hellokitty, Rootkits Linux, malware de Botnet Gotitan y Shell Web Godzilla. En la actividad de ataque detectada por Red Canary, se ha observado que los actores de amenaza aprovechan el acceso para modificar las configuraciones SSHD existentes para permitir el inicio de sesión de la raíz, otorgándoles un acceso elevado para soltar un descargador previamente desconocido doblado DripDropper. Dripdropper, un formato ejecutable de Pyinstaller y un formato vinculable (ELF), requiere una contraseña para ejecutarse en un análisis de resistencia. También se comunicó con una cuenta de Dropbox controlada por el atacante, una vez más ilustrando cómo los actores de amenaza dependen cada vez más de los servicios legítimos para combinarse con la actividad de la red regular y la detección de evasión. El descargador finalmente sirve como un conducto para dos archivos, uno de los cuales facilita un conjunto variado de acciones en diferentes puntos finales, que van desde el monitoreo del proceso hasta el contacto con Dropbox para obtener más instrucciones. La persistencia del archivo caído se logra modificando el archivo 0anacron presente en /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly, /etc/cron.monthly directorios. El segundo archivo descartado por DripDropper también está diseñado para contactar a Dropbox para recibir comandos, al tiempo que altera los archivos de configuración existentes relacionados con SSH, probablemente como un mecanismo de respaldo para el acceso persistente. La etapa final implica que el atacante descargue de los parches Apache Maven para CVE-2023-46604, conectando efectivamente la falla. «Parchear la vulnerabilidad no interrumpe sus operaciones, ya que ya establecieron otros mecanismos de persistencia para el acceso continuo», dijeron los investigadores. Aunque ciertamente es rara, la técnica no es nueva. El mes pasado, la agencia nacional de ciberseguridad de Francia, ANSSI, detalló a un corredor de acceso inicial de China-Nexus que emplea el mismo enfoque para asegurar el acceso a los sistemas y evitar que otros actores de amenazas usen las deficiencias para entrar y enmascarar el vector de acceso inicial utilizado en primer lugar. La campaña ofrece un recordatorio oportuno de por qué las organizaciones deben aplicar parches de manera oportuna, limitar el acceso a los servicios internos al configurar reglas de ingreso a direcciones IP confiables o VPN, y monitorear el registro de entornos en la nube para marcar la actividad anómala.