Les acteurs de la menace exploitent une faille de sécurité vieille de près de deux ans dans Apache ActiveMQ pour obtenir un accès persistant aux systèmes Linux cloud et déployer un logiciel malveillant appelé DripDropper .

Mais dans un retournement de situation inhabituel, les attaquants inconnus ont été observés en train de corriger la vulnérabilité exploitée après avoir sécurisé l’accès initial pour empêcher toute exploitation supplémentaire par d’autres adversaires et échapper à la détection, a déclaré Red Canary dans un rapport partagé avec The Hacker News.

« Les outils de commandement et de contrôle (C2) de l’adversaire variaient selon le point de terminaison et comprenaient Sliver et Cloudflare Tunnels pour maintenir le commandement et le contrôle secrets sur le long terme », ont déclaré les chercheurs Christina Johns, Chris Brook et Tyler Edmonds.

Les attaques exploitent une faille de sécurité de gravité maximale dans Apache ActiveMQ ( CVE-2023-46604 , score CVSS : 10,0), une vulnérabilité d’exécution de code à distance qui pourrait être exploitée pour exécuter des commandes shell arbitraires. Elle a été corrigée fin octobre 2023.

La faille de sécurité a depuis été largement exploitée, de nombreux acteurs malveillants l’exploitant pour déployer une large gamme de charges utiles, notamment le ransomware HelloKitty , les rootkits Linux , le malware botnet GoTitan et le shell Web Godzilla .

Dans l’activité d’attaque détectée par Red Canary, les acteurs de la menace ont été observés en train d’exploiter l’accès pour modifier les configurations sshd existantes afin de permettre la connexion root, leur accordant un accès élevé pour supprimer un téléchargeur jusque-là inconnu appelé DripDropper.

DripDropper, un binaire PyInstaller exécutable et au format ELF (Linkable Format), nécessite un mot de passe pour s’exécuter afin de résister à l’analyse. Il a également communiqué avec un compte Dropbox contrôlé par un attaquant, illustrant une fois de plus comment les acteurs malveillants s’appuient de plus en plus sur des services légitimes pour se fondre dans l’activité réseau habituelle et contourner la détection.

Le téléchargeur sert de canal pour deux fichiers, dont l’un permet diverses actions sur différents terminaux, allant de la surveillance des processus à la demande d’instructions à Dropbox. La persistance du fichier déposé est assurée par la modification du fichier 0anacron présent dans les répertoires /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly et /etc/cron.monthly.

Le deuxième fichier déposé par DripDropper est également conçu pour contacter Dropbox afin de recevoir des commandes, tout en modifiant les fichiers de configuration existants liés à SSH, probablement comme mécanisme de sauvegarde pour un accès persistant. La dernière étape consiste pour l’attaquant à télécharger depuis Apache Maven les correctifs pour CVE-2023-46604, corrigeant ainsi la faille.

« La correction de la vulnérabilité ne perturbe pas leurs opérations car ils ont déjà établi d’autres mécanismes de persistance pour un accès continu », ont déclaré les chercheurs.

Bien que rare, cette technique n’est pas nouvelle. Le mois dernier, l’Agence nationale de sécurité des systèmes d’information (ANSSI) a présenté un courtier d’accès initial (Chine-nexus) utilisant la même approche pour sécuriser l’accès aux systèmes et empêcher d’autres acteurs malveillants d’exploiter ces failles pour pénétrer dans le système et masquer le vecteur d’accès initial utilisé.

La campagne rappelle à point nommé pourquoi les organisations doivent appliquer les correctifs en temps opportun, limiter l’accès aux services internes en configurant les règles d’entrée sur des adresses IP ou des VPN de confiance, et surveiller la journalisation des environnements cloud pour signaler les activités anormales.