19.08.2025
1 хв
463
Кіберзлочинці активно експлуатують критичну уразливість Apache ActiveMQ (CVE-2023-46604) у Linux-хмарних системах для розгортання нового шкідливого ПЗ DripDropper, парадоксально закриваючи діру після проникнення, щоб залишатися непоміченими.
За даними Red Canary, атаки починаються з використання критичної RCE-уразливості CVE-2023-46604 із рейтингом CVSS 10.0, яка дозволяє виконувати довільні shell-команди. Після отримання доступу зловмисники змінюють конфігурацію SSH для входу під root, а потім завантажують DripDropper — новий завантажувач, упакований у PyInstaller ELF-бінарник, що вимагає пароль для запуску. Він комунікує з Dropbox-акаунтом атакуючих і слугує каналом для завантаження двох додаткових файлів: один забезпечує моніторинг процесів і отримання команд, інший змінює SSH-конфігурації як резервний механізм доступу. Для збереження стійкості шкідливий код модифікує системні файли cron у каталогах /etc/cron.*. Після цього зловмисники навіть завантажують офіційні патчі для ActiveMQ, щоб «закрити двері» для конкурентів і не привертати увагу.
Уразливість CVE-2023-46604 була закрита ще в жовтні 2023 року, але досі широко експлуатується для доставки різних сімейств шкідливих програм — від HelloKitty ransomware і Linux rootkits до GoTitan botnet та Godzilla web shell. Аналогічну тактику — експлуатація з подальшим патчингом — раніше фіксували французькі кіберфахівці ANSSI у груп, пов’язаних із Китаєм. Використання легальних хмарних сервісів, як-от Dropbox або Cloudflare Tunnels, стало популярним методом маскування C2-активності.
Кампанія з DripDropper ще раз доводить: хакери не лише експлуатують дірки, а й «прибирають за собою», аби інші не використали ті самі уразливості. Це ускладнює атрибуцію та розслідування. Для захисту компаніям варто терміново оновлювати системи, обмежувати доступ до внутрішніх сервісів через VPN або IP-фільтри та ретельно моніторити журнали подій у хмарних середовищах.
