Хакеры патчат за собой: новая уловка на Linux
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Исследователи в области кибербезопасности наткнулись на любопытную практику среди хакеров, атакующих облачные Linux-серверы: теперь злоумышленники не просто взламывают системы, но и аккуратно "чинят" дыру, через которую сами проникли. Но не стоит благодарить неизвестного ангела-хранителя. По данным Red Canary, всё это ради того, чтобы никто другой не воспользовался найденной уязвимостью и чтобы скрыться от расследования.
Речь идёт об уязвимости CVE-2023-46604 с максимальным уровнем опасности, найденной в Apache ActiveMQ — популярной платформе обмена сообщениями для Java-приложений. Благодаря этой брешь, киберпреступники получали постоянный доступ к серверу, после чего быстро ставили условную "заглушку", исправляя баг. Мол, вход только для избранных.
Но на этом шоу не заканчивается. Помимо "лата" на дыру, злоумышленники разворачивали вредоносную Sliver — систему доступа и управления, которая давала полный контроль над сервером. Дополнительно они настраивали sshd на вход с root-правами — то есть сдают ключи от квартиры вместе с серверами.
Особую пикантность добавляет новый загрузчик DripDropper, впервые зафиксированный Red Canary. Чтобы его запустить, нужен пароль — так что автоматические системы обнаружения бессильны. DripDropper общается с хакерами через Dropbox — сервис для обмена файлами. Он маскирует своё присутствие, используя встроенные ключи авторизации и запутывает анализ трафика, ведь Dropbox официально не числится "опасным местом". Считается, что DripDropper грузит два разных вредоносных компонента.
Red Canary напоминает: уязвимости веб-серверов — одна из самых частых причин взлома Linux-систем. Особенно в эпоху, когда инфраструктура почти полностью уходит в облака и работает на Unix-подобных ОС. Защитные меры в таких условиях должны быть не только продуманными, но и специализированными: общий хардening уже не спасёт.
PEREC.RU
Удивительно, как быстро даже обыденная уязвимость превращается в сцену для интеллектуального спектакля. На облачных Linux-серверах — новая смена декораций: теперь хакеры не просто взламывают системы, а тут же латают пробоину, замыкая за собой железные двери. Звучит как забота, только заботятся они исключительно о себе: делят контроль над системой, устраивают грязные подковёрные войны.
Ведь пока безопасность ИТ-отдела разминается на старом методе "быстро патчить", Red Canary фиксирует: вход через критическую дыру Apache ActiveMQ, следом — внедрение бекдор-комплекта Sliver, настройка root-доступа с помощью команды sshd и появление таинственного DripDropper. Последний требует пароль для активации, общается с киберпреступниками через невинный Dropbox, прикрываясь обычным трафиком, и, возможно, грузит ещё пару вредоносов.
Получается, в МВД ещё не остыли от классических ботнетов, а на облачных Linux-серверах уже другая лига: конкуренты бьются за контроль, а администраторам в России остаётся только строить концепции кибер-гигиены на хрупком фундаменте. Почти по Ницше: "Кто с хакером борется, сам может стать хакером" — только вместо глубины здесь лукавая простота новых решений. Словом, очередное подтверждение: в дворовой драке кибервеков выигрывает не честный, а изобретательный.
