Cybersicherheitsexperten von Red Canary haben eine außergewöhnliche Angriffsstrategie dokumentiert, bei der Cyberkriminelle die neue Linux-Malware DripDropper einsetzen. Das Besondere an dieser Kampagne: Die Angreifer schließen nach erfolgreicher Kompromittierung systematisch die ursprünglich ausgenutzte Sicherheitslücke, um ihre Spuren zu verwischen und konkurrierende Angriffe zu verhindern.
Apache ActiveMQ Schwachstelle als Einfallstor
Im Zentrum der Angriffe steht die CVE-2023-46604, eine kritische Remote Code Execution-Schwachstelle in Apache ActiveMQ. Mit einem CVSS-Score von 10.0 stellt diese Sicherheitslücke eine maximale Bedrohung für Unternehmensnetzwerke dar. Die Schwachstelle ermöglicht es Angreifern, über das OpenWire-Protokoll beliebige Shell-Befehle durch manipulierte Klassenserialisierung auszuführen.
Obwohl Apache bereits im Oktober 2023 einen offiziellen Patch veröffentlichte, bleiben zahlreiche Systeme weltweit ungeschützt. Diese Verzögerung bei der Patch-Implementierung macht Organisationen weiterhin anfällig für gezielte Angriffe.
Innovative Verschleierungstaktik durch Vulnerability Patching
Nach erfolgreichem Eindringen in die Zielsysteme implementieren die Angreifer eine ungewöhnliche Nachbehandlungsstrategie. Sie installieren zunächst ihre Backdoor-Mechanismen und laden anschließend zwei speziell entwickelte JAR-Dateien herunter, die effektiv die ursprünglich ausgenutzte CVE-2023-46604 Schwachstelle schließen.
Diese Methodik bietet den Cyberkriminellen mehrere strategische Vorteile: Automatisierte Vulnerability-Scanner erkennen das System nicht mehr als kompromittiert, da die ursprüngliche Schwachstelle technisch behoben erscheint. Gleichzeitig werden andere Angreifergruppen daran gehindert, dieselbe Sicherheitslücke zu exploitieren.
Technische Implementierung des Angriffs
Für die initiale Systemkompromittierung nutzen die Angreifer Sliver-Implants, ein legitimes Penetration-Testing-Framework, das häufig für malicious Zwecke zweckentfremdet wird. Über diesen Kanal modifizieren sie die SSH-Daemon-Konfiguration der Zielsysteme und erlangen dadurch privilegierte Root-Zugriffsrechte.
Der Hauptpayload besteht aus einer verschlüsselten ELF-Datei namens DripDropper, die mit PyInstaller kompiliert wurde und erweiterte Persistenz- und Steuerungsfunktionen bietet.
DripDropper Malware-Funktionalitäten
DripDropper stellt eine hochentwickelte Linux-Malware mit umfassenden Überwachungs- und Steuerungskapazitäten dar. Als Command-and-Control-Infrastruktur nutzt die Malware den Cloud-Dienst Dropbox, was die Erkennung und Blockierung der Kommunikation erheblich erschwert.
Die Kernfunktionen umfassen kontinuierliche Systemüberwachung, Befehlsempfang über die Dropbox-API und die Etablierung multipler Persistenz-Mechanismen. Zur dauerhaften Systemkompromittierung manipuliert DripDropper 0anacron-Dateien in verschiedenen /etc/cron.*-Verzeichnissen und nimmt Änderungen an SSH-Konfigurationen vor.
Erweiterte Persistenz-Strategien
Besonders bemerkenswert ist die Modifikation des games-Benutzerkontos, dessen Standard-Shell auf /bin/sh geändert wird. Diese Technik schafft einen zusätzlichen, schwer erkennbaren Zugangspunkt, der auch bei Entdeckung der primären Backdoor-Mechanismen funktionsfähig bleibt.
Patch-Management als kritischer Schwachpunkt
Der CVE-2023-46604 Fall verdeutlicht systemische Probleme im Enterprise Vulnerability Management. Trotz der mehr als einjährigen Verfügbarkeit von Sicherheitsupdates bleiben viele Organisationen durch verzögerte Patch-Zyklen verwundbar.
Ein exemplarisches Beispiel liefert Oracle, das erst im Januar 2025 entsprechende Updates bereitstellte, obwohl aktive Exploits bereits seit Monaten dokumentiert waren. Diese Verzögerungen zwischen Vulnerability-Disclosure und Vendor-Patches schaffen erweiterte Angriffsfenster für Cyberkriminelle.
Effektiver Schutz gegen solche sophistizierten Angriffe erfordert einen mehrschichtigen Sicherheitsansatz. Organisationen sollten proaktive Patch-Management-Strategien implementieren, kontinuierliche Netzwerk-Monitoring-Systeme etablieren und regelmäßige Sicherheitsaudits durchführen. Besondere Aufmerksamkeit verdienen öffentlich zugängliche Systeme und kritische Infrastrukturkomponenten, die bevorzugte Ziele für Advanced Persistent Threat-Kampagnen darstellen.
