详细内容或原文请订阅后点击阅览
就像盗贼关闭门一样,Apache Activemq攻击者在闯入
入侵者希望没有人会注意到他们的预选者在开源的Apache ActiveMQ中间件中利用关键漏洞的情况正在解决允许它们访问的缺陷,因为在Linux服务器上建立了持久性。
来源:The Register _恶意软件在建立Linux服务器的持久性之后,在开源Apache ActiveMQ中间件中利用关键漏洞的罪犯正在解决允许他们访问的缺陷。
安全之家红色金丝雀的研究人员使用一种新形式的Linux恶意软件(称为Dibdropper)观察了攻击者,以与运行Apache基于Java的消息代理的数十个系统。不法行为使用CVE-2023-46604,这是一个CVSS 9.8关键缺陷,Apache本身将其评为完美的10。将后门安装到受感染的系统后,然后下载了两个Java Archive(JAR)文件,这些文件有效地修补了原始的vuln。
红色金丝雀 CVE-2023-46604“这种行为非常罕见,我们很少看到它,” Red Canary的首席研究员Brian Donohue告诉《登记册》。 “我认为我们以前只看过一次,而且这不是经常发生的事情。大多数威胁几乎是要点和玩耍的,并且通常不包括这种真正定制的技巧。”
寄存器犯罪分子使用sliver植入物(一种合法的工具)获得了访问权限,这是一种合法的工具,但也被黑帽子滥用了 - 以修改目标机器的SSHD配置文件,以允许root访问。然后,他们下载了Dripdropper,这是一种加密的Pyinstaller构建的精灵,与攻击者控制的Dropbox帐户进行通信,以保持对折衷的Linux服务器的控制。
在感染后修补系统时,将有助于掩盖脆弱性扫描仪的入侵,但有第二条防御措施。 Donohue解释说,Dripdropper-之所以命名是因为它使用Dropbox来回穿梭 - 受到密码保护,因此很难通过Bug Hunters访问和分析,以寻求寻找杀死代码的方法。
报告 回 包括一个补丁