Дослідники кібербезпеки з компанії Red Canary виявили революційний підхід у діяльності кіберзлочинців. Нова загроза під назвою DripDropper демонструє унікальну тактику: після успішного проникнення в систему зловмисники не лише встановлюють шкідливе програмне забезпечення, але й самостійно виправляють використані уразливості, ускладнюючи виявлення атаки.
Експлуатація критичної уразливості в Apache ActiveMQ
В основі цих атак лежить використання CVE-2023-46604 – критичної уразливості віддаленого виконання коду в платформі Apache ActiveMQ. Ця брешка отримала максимальний рейтинг 10.0 балів за шкалою CVSS, що свідчить про її надзвичайну небезпеку для корпоративних мереж.
Уразливість дозволяє зловмисникам виконувати довільні команди через серіалізовані типи класів у протоколі OpenWire. Незважаючи на те, що проблему було офіційно виправлено в жовтні 2023 року, значна кількість організацій досі не встановила необхідні оновлення безпеки.
Унікальна стратегія приховування слідів
Після успішного зараження системи кіберзлочинці застосовують нестандартний підхід. Вони встановлюють бекдор та завантажують два JAR-файли, які фактично усувають первинну уразливість CVE-2023-46604. Така тактика служить кільком цілям:
По-перше, вона маскує сліди атаки від автоматизованих сканерів безпеки, які перестають виявляти проблему в системі. По-друге, запобігає використанню тієї ж уразливості іншими групами зловмисників, захищаючи “інвестиції” первинних атакувальників.
Технічні деталі компрометації
Для початкового доступу зловмисники використовують Sliver-імплант – легітимний інструмент для тестування на проникнення. За його допомогою атакувальники модифікують конфігураційний файл SSH-демона, отримуючи root-доступ до цільової системи.
Наступним кроком є завантаження основного payload – зашифрованого ELF-файлу DripDropper, скомпільованого з використанням PyInstaller. Цей підхід ускладнює аналіз шкідливого коду та його виявлення антивірусними рішеннями.
Функціональні можливості DripDropper
Шкідлива програма DripDropper представляє собою багатофункціональний інструмент для тривалого контролю скомпрометованих систем. Особливістю цього малвару є використання хмарного сервісу Dropbox як центру командування та контролю, що значно ускладнює блокування комунікацій.
Основний функціонал включає моніторинг системних процесів, отримання команд через Dropbox API та забезпечення стійкості присутності в системі. Для закріплення DripDropper модифікує файли 0anacron у каталогах /etc/cron.* та змінює SSH-конфігурації.
Створення резервних точок доступу
Особливої уваги заслуговує зміна стандартної оболонки для облікового запису games на /bin/sh. Цей технічний прийом створює додаткову точку постійного доступу, дозволяючи кіберзлочинцям зберігати контроль навіть при виявленні основного бекдора.
Проблема несвоєчасного оновлення систем
Випадок з CVE-2023-46604 яскраво ілюструює системну проблему управління уразливостями у корпоративному середовищі. Попри те, що виправлення було випущено понад рік тому, багато організацій залишаються уразливими через затримки у випуску патчів від постачальників.
Наприклад, Oracle випустила оновлення лише у січні 2025 року, незважаючи на численні попередження експертів про активну експлуатацію уразливості. Така ситуація створює тривалі вікна можливостей для кіберзлочинців.
Ефективний захист від подібних атак потребує комплексного підходу, що включає своєчасне оновлення програмного забезпечення, постійний моніторинг мережевого трафіку та регулярні аудити безпеки. Організаціям варто приділити особливу увагу системам з публічним доступом та критично важливій інфраструктурі, які найчастіше стають мішенями для кіберзлочинців. Випадок з DripDropper демонструє еволюцію тактик зловмисників та необхідність адаптації стратегій кібербезпеки для протидії новим загрозам.
