Команда кибербезопасности Red Canary выявила нестандартную тактику киберпреступников, использующих новую Linux-вредонос под названием DripDropper. Особенностью данных атак является то, что злоумышленники не только эксплуатируют критические уязвимости в системах, но и самостоятельно исправляют использованные бреши после успешного заражения.
Эксплуатация критической уязвимости Apache ActiveMQ
В основе атак лежит эксплуатация CVE-2023-46604 — критической уязвимости удаленного выполнения кода (RCE) в популярном open-source решении Apache ActiveMQ. Данная брешь получила максимальный балл 10.0 по шкале CVSS, что подчеркивает ее крайнюю опасность для корпоративных систем.
Уязвимость позволяет атакующим выполнять произвольные shell-команды через сериализованные типы классов в протоколе OpenWire. Несмотря на то, что проблема была обнаружена и официально исправлена в октябре 2023 года, многие организации до сих пор не установили необходимые патчи безопасности.
Уникальная тактика: исправление уязвимостей после атаки
После успешного проникновения в систему киберпреступники демонстрируют необычное поведение. Они устанавливают бэкдор и загружают два JAR-файла, которые фактически закрывают первоначальную уязвимость CVE-2023-46604. Такой подход помогает злоумышленникам:
Скрыть следы атаки от автоматизированных сканеров уязвимостей, которые перестают обнаруживать проблему в системе. Эксперты Red Canary отмечают, что подобная тактика встречается крайне редко и свидетельствует о высоком уровне подготовки атакующих.
Технические детали компрометации системы
Для получения первоначального доступа злоумышленники используют Sliver-имплант — легитимный инструмент для проведения тестов на проникновение, который часто применяется в злонамеренных целях. С его помощью атакующие:
Модифицируют конфигурационный файл SSH-демона (sshd) целевой машины, получая привилегированный root-доступ к системе. Затем происходит загрузка основного payload — зашифрованного ELF-файла DripDropper, скомпилированного с использованием PyInstaller.
Функциональность вредоносного ПО DripDropper
DripDropper представляет собой сложную вредоносную программу с многочисленными возможностями. Малварь использует облачный сервис Dropbox в качестве командного центра управления (C2), что затрудняет обнаружение и блокировку коммуникаций.
Основные функции вредоноса включают мониторинг системных процессов, получение инструкций от операторов через Dropbox API, а также обеспечение постоянного присутствия в системе. Для закрепления в системе DripDropper модифицирует файлы 0anacron в каталогах /etc/cron.* и изменяет SSH-конфигурации.
Создание дополнительных точек доступа
Особого внимания заслуживает изменение стандартной оболочки для учетной записи games на /bin/sh. Этот технический прием создает дополнительную точку постоянного доступа, позволяя киберпреступникам выполнять команды даже при обнаружении основного бэкдора.
Проблема несвоевременного патчинга
Случай с CVE-2023-46604 ярко демонстрирует системную проблему управления уязвимостями в корпоративной среде. Несмотря на то, что исправление было выпущено более года назад, многие организации остаются уязвимыми из-за:
Задержек в выпуске патчей от вендоров — например, Oracle выпустила обновление только в январе 2025 года, несмотря на многочисленные предупреждения экспертов о активной эксплуатации уязвимости в дикой природе.
Эффективная защита от подобных атак требует комплексного подхода, включающего своевременное обновление программного обеспечения, мониторинг сетевого трафика и регулярные аудиты безопасности. Организациям следует уделить особое внимание системам с публичным доступом и критически важной инфраструктуре, которые чаще всего становятся мишенями для киберпреступников.
