کمیته رکن چهارم – پژوهشگران امنیتی هشدار دادهاند که مهاجمان سایبری از یک آسیبپذیری وصلهنشده در Apache ActiveMQ سوءاستفاده کرده و بدافزار جدیدی به نام DripDropper را روی سیستمهای لینوکسی مستقر میکنند. نکته غیرمعمول این حملات آن است که مهاجمان پس از بهدستآوردن دسترسی، همان حفره امنیتی را وصله میکنند تا رد فعالیت خود را پنهان و مانع سوءاستفاده سایر مهاجمان شوند.
به گزارش کمیته رکن چهارم، این حملات آسیبپذیری بحرانی CVE-2023-46604 را هدف گرفتهاند؛ نقصی که در اکتبر ۲۰۲۳ رفع شد اما همچنان به طور گسترده مورد سوءاستفاده قرار دارد. مهاجمان مختلف تاکنون از این حفره برای استقرار بدافزارهایی مانند باجافزار HelloKitty، روتکیتهای لینوکس، باتنت GoTitan و وبشل Godzilla استفاده کردهاند.
در نمونههای جدید، مهاجمان پس از نفوذ پیکربندی sshd را تغییر داده و ورود کاربر root را فعال میکنند تا دسترسی سطح بالا داشته باشند. سپس بدافزار DripDropper را نصب میکنند؛ یک فایل ELF ساختهشده با PyInstaller که برای اجرا به رمز نیاز دارد تا تحلیل آن دشوار شود. این بدافزار با یک حساب Dropbox تحت کنترل مهاجم ارتباط برقرار میکند و از آن برای دریافت دستور یا بارهای مخرب دیگر بهره میبرد.
DripDropper در ادامه دو فایل را بارگیری میکند: فایل نخست امکان نظارت بر فرآیندها و دریافت دستورات بیشتر از Dropbox را فراهم کرده و با تغییر در فایلهای cron پایداری خود را تضمین میکند. فایل دوم نیز با تغییر پیکربندیهای SSH راهی پشتیبان برای دسترسی مداوم ایجاد میکند. در نهایت، بدافزار اقدام به بارگیری و نصب وصله رسمی CVE-2023-46604 از Apache Maven میکند.
پژوهشگران تأکید میکنند این اقدام مانع از ادامه عملیات مهاجمان نمیشود، چرا که آنها پیشتر سازوکارهای دیگری برای حفظ دسترسی دائمی پیاده کردهاند. این حملات بار دیگر اهمیت نصب بهموقع وصلههای امنیتی، محدودسازی دسترسی سرویسها به آیپیهای مطمئن یا VPN و پایش دقیق لاگهای محیط ابری برای شناسایی فعالیتهای غیرعادی را نشان میدهد.
