DripDropper tấn công Linux đám mây thông qua CVE-2023-46604

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
110
1.056 bài viết
DripDropper tấn công Linux đám mây thông qua CVE-2023-46604
Các tin tặc đang khai thác một lỗ hổng nghiêm trọng gần hai năm tuổi trong Apache ActiveMQ để chiếm quyền kiểm soát liên tục các hệ thống Linux trên nền tảng đám mây, triển khai phần mềm độc hại DripDropper và thiết lập cơ chế duy trì truy cập ẩn, gây nguy cơ nghiêm trọng cho dữ liệu và hạ tầng.

Apache ActiveMQ.png

Lỗ hổng này được ghi nhận với mã CVE-2023-46604 và có mức độ nghiêm trọng tối đa, CVSS 10.0, là một lỗi thực thi mã từ xa (RCE) cho phép tin tặc chạy lệnh shell tùy ý và chiếm quyền root mà không cần xác thực, nhờ cơ chế xử lý các yêu cầu gửi đến broker không được kiểm soát chặt chẽ.

Sau khi xâm nhập thành công, tin tặc còn chủ động vá lỗ hổng để ngăn các tác nhân khác lợi dụng, giảm nguy cơ bị phát hiện, đồng thời thiết lập nhiều cơ chế duy trì quyền truy cập lâu dài. DripDropper sau đó được triển khai để kết nối với dịch vụ hợp pháp như Dropbox, tải thêm payload và sửa đổi cấu hình SSH, minh chứng cho xu hướng tin tặc kết hợp kỹ thuật tấn công truyền thống với các dịch vụ hợp pháp để tránh bị phát hiện.

Để duy trì quyền kiểm soát ẩn trong thời gian dài, các tin tặc sử dụng nhiều công cụ điều khiển từ xa (C2) khác nhau tùy thuộc vào từng hệ thống bị xâm nhập, trong đó có Sliver và Cloudflare Tunnels. Các công cụ này không chỉ giúp chúng giám sát và điều khiển hệ thống một cách kín đáo mà còn hạn chế nguy cơ bị các tác nhân khác chiếm quyền truy cập, theo nhận định của các nhà nghiên cứu Christina Johns, Chris Brook và Tyler Edmonds.

Tận dụng lỗ hổng CVE-2023-46604, các tin tặc triển khai hàng loạt payload đa dạng, từ ransomware HelloKitty, rootkit Linux, malware botnet GoTitan đến web shell Godzilla. Trong quá trình tấn công được Red Canary ghi nhận, chúng còn tinh chỉnh cấu hình sshd để bật quyền root, từ đó triển khai DripDropper – một trình tải xuống chưa từng được biết trước đó. DripDropper sau khi được cài đặt kết nối với các dịch vụ hợp pháp để tải thêm payload và thiết lập cơ chế duy trì quyền truy cập bền vững, minh chứng cho chiến lược kết hợp kỹ thuật xâm nhập truyền thống với các dịch vụ hợp pháp nhằm tránh bị phát hiện.

DripDropper là một tệp ELF được đóng gói bằng PyInstaller và yêu cầu mật khẩu để chạy, nhằm chống phân tích. Sau khi cài đặt, nó kết nối với tài khoản Dropbox do kẻ tấn công kiểm soát, minh họa xu hướng ngày càng phổ biến của việc lợi dụng dịch vụ hợp pháp để hòa lẫn với lưu lượng mạng bình thường và né tránh phát hiện. Trình tải xuống này triển khai hai tệp: tệp đầu tiên thực hiện nhiều hành động trên từng hệ thống, từ giám sát tiến trình đến liên lạc với Dropbox để nhận hướng dẫn, đồng thời thiết lập cơ chế duy trì quyền truy cập lâu dài bằng cách sửa đổi tệp 0anacron trong các thư mục /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly và /etc/cron.monthly.

Tệp thứ hai cũng liên lạc với Dropbox để nhận lệnh, đồng thời sửa đổi các cấu hình SSH hiện có, hoạt động như một cơ chế dự phòng đảm bảo quyền truy cập bền vững. Ở giai đoạn cuối của chuỗi tấn công, tin tặc tải các bản vá CVE-2023-46604 từ Apache Maven để đóng lỗ hổng đã khai thác. Các nhà nghiên cứu nhấn mạnh rằng việc vá lỗ hổng không làm gián đoạn hoạt động của tin tặc, bởi họ đã triển khai sẵn các cơ chế duy trì khác để tiếp tục kiểm soát hệ thống.

Mặc dù hiếm nhưng chiến thuật này không phải là mới. Tháng trước, Cơ quan An ninh mạng quốc gia Pháp công bố một nhà môi giới truy cập ban đầu có liên hệ với Trung Quốc áp dụng phương thức tương tự: bảo vệ quyền truy cập đã chiếm, ngăn các tác nhân khác khai thác lỗ hổng và đồng thời che giấu vector xâm nhập ban đầu. Trường hợp này nhấn mạnh tầm quan trọng của việc các tổ chức áp dụng bản vá kịp thời, giới hạn quyền truy cập dịch vụ nội bộ chỉ với các IP tin cậy hoặc VPN và giám sát log của môi trường đám mây để phát hiện các hoạt động bất thường trước khi chúng trở thành sự cố nghiêm trọng.

Tổng hợp
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
apache activemq cve-2023-46604 dripdropper
Bên trên