Một chiến dịch malware Linux tinh vi mới đã được phát hiện với cách tiếp cận bất thường để duy trì sự tồn tại trên các hệ thống bị xâm phạm. Các nhà nghiên cứu bảo mật tại Red Canary đã xác định kẻ tấn công khai thác lỗ hổng nghiêm trọng của Apache ActiveMQ, sau đó ngay lập tức vá lại chính lỗ hổng bảo mật mà chúng đã sử dụng để xâm nhập.
Chiến Lược Tự Vá Lỗi Bất Thường
Malware này có tên gọi DripDropper, đại diện cho sự thay đổi chiến thuật trong hành vi tội phạm mạng. Sau khi khai thác thành công CVE-2023-46604, một lỗ hổng mức độ nghiêm trọng tối đa trong giao thức Java OpenWire của Apache ActiveMQ, kẻ tấn công tiến hành sửa chính lỗ hổng mà chúng đã khai thác. Cách tiếp cận phản trực giác này phục vụ hai mục đích chiến lược: ngăn chặn các họ malware khác truy cập vào cùng hệ thống và làm cho việc xâm phạm ban đầu khó phát hiện và truy vết hơn.
Các nhà nghiên cứu Red Canary lưu ý rằng mặc dù chiến thuật này không hoàn toàn chưa từng có, nó thể hiện mức độ tinh vi đảm bảo quyền kiểm soát độc quyền đối với cơ sở hạ tầng bị xâm phạm. Chiến lược này có hiệu quả ngăn chặn các tác nhân đe dọa cạnh tranh trong khi giảm khả năng các quản trị viên hệ thống phát hiện ra vi phạm thông qua quét lỗ hổng thường xuyên.
Chi tiết lỗ hổng bảo mật
- CVE ID: CVE-2023-46604
- Điểm CVSS: 10.0 (Mức độ nghiêm trọng tối đa)
- Phần mềm bị ảnh hưởng: Giao thức Java OpenWire của Apache ActiveMQ
- Trạng thái bản vá: Đã có sẵn trong gần 2 năm
Triển Khai Kỹ Thuật và Phân Phối Payload
Cuộc tấn công bắt đầu bằng việc khai thác lỗ hổng Apache ActiveMQ, có mức độ nguy hiểm tối đa là 10 trên thang điểm Common Vulnerability Scoring System ( CVSS ). Một khi quyền truy cập ban đầu được thiết lập, kẻ tấn công triển khai các framework Command and Control bao gồm Sliver và Cloudflare Tunnels để duy trì sự tồn tại lâu dài trên hệ thống mục tiêu.
Malware sửa đổi các tệp cấu hình SSH để cho phép đăng nhập root, cấp cho kẻ tấn công quyền truy cập quản trị toàn diện. DripDropper được phân phối dưới dạng tệp nhị phân PyInstaller ELF được mã hóa yêu cầu mật khẩu để thực thi, làm cho việc reverse engineering trở nên khó khăn hơn đáng kể đối với các nhà nghiên cứu bảo mật và hệ thống phân tích tự động.
Các Thành Phần Tấn Công
- Truy Cập Ban Đầu: Khai thác lỗ hổng Apache ActiveMQ
- Khung C2: Sliver , Cloudflare Tunnels
- Giao Tiếp: Dropbox với các token bearer được mã hóa cứng
- Duy Trì Quyền Truy Cập: Sửa đổi cấu hình SSH , các tác vụ cron
- Tải Trọng Thứ Cấp: Trình giám sát tiến trình, truy cập SSH thông qua người dùng 'games'
Giao Tiếp Thông Qua Các Dịch Vụ Hợp Pháp
DripDropper thiết lập giao tiếp với các điều hành viên thông qua tài khoản Dropbox sử dụng bearer token được mã hóa cứng. Cách tiếp cận này phản ánh các chiến thuật được sử dụng bởi các họ malware tinh vi khác như CHIMNEYSWEEP và Mustang Panda, tận dụng các dịch vụ lưu trữ đám mây hợp pháp để pha trộn lưu lượng độc hại với các giao tiếp kinh doanh bình thường.
Malware thường triển khai hai thành phần phụ sau khi thiết lập chỗ đứng. Thành phần đầu tiên giám sát các quy trình hệ thống và duy trì liên lạc với trung tâm chỉ huy Dropbox, thiết lập sự tồn tại thông qua các công việc cron được lên lịch. Thành phần thứ hai tạo tên tệp ngẫu nhiên tám ký tự và tiếp tục sửa đổi cài đặt SSH để cho phép truy cập bí mật thông qua tài khoản người dùng 'games'.
Hoàn Thành Sự Lừa Dối
Trong giai đoạn cuối của cuộc tấn công, DripDropper tải xuống các tệp JAR ActiveMQ hợp pháp trực tiếp từ kho Maven chính thức của Apache. Những tệp sạch này thay thế các phiên bản dễ bị tấn công ban đầu có trên hệ thống, có hiệu quả vá lỗ hổng bảo mật và loại bỏ các dấu hiệu rõ ràng của việc xâm phạm. Quá trình dọn dẹp tinh vi này cho phép kẻ tấn công theo đuổi các mục tiêu cuối cùng của chúng, dù là đào tiền điện tử, di chuyển ngang mạng, hay trích xuất dữ liệu, mà không kích hoạt cảnh báo bảo mật.
Các Biện Pháp Bảo Mật Được Khuyến Nghị
- Vô hiệu hóa đăng nhập SSH bằng tài khoản root
- Chạy các dịch vụ web dưới tài khoản không phải root
- Triển khai các hạn chế truy cập mạng (tường lửa, VPN)
- Triển khai quản lý bản vá dựa trên chính sách ( Ansible , Puppet )
- Kích hoạt ghi nhật ký toàn diện cho các hoạt động đám mây
- Duy trì các bản cài đặt ActiveMQ được cập nhật
Chiến Lược Phòng Ngừa và Giảm Thiểu
Biện pháp bảo vệ quan trọng nhất chống lại vector tấn công này vẫn là duy trì các phiên bản phần mềm hiện tại và triển khai các quy trình quản lý bản vá mạnh mẽ. Các tổ chức chạy Apache ActiveMQ phải đảm bảo họ đang vận hành các phiên bản đã được vá, vì lỗ hổng bị khai thác đã được giải quyết trong gần hai năm.
Các chuyên gia bảo mật khuyến nghị triển khai các biện pháp củng cố toàn diện bao gồm vô hiệu hóa đăng nhập SSH root, chạy các dịch vụ web dưới tài khoản không có đặc quyền, và hạn chế truy cập mạng thông qua cấu hình tường lửa và VPN. Các công cụ quản lý dựa trên chính sách như Ansible hoặc Puppet có thể giúp đảm bảo việc vá lỗi nhất quán trên toàn bộ cơ sở hạ tầng trong khi duy trì tài liệu chi tiết về các thay đổi hệ thống.
Việc phát hiện ra DripDropper nhấn mạnh sự tinh vi ngày càng phát triển của malware nhắm mục tiêu Linux, đặc biệt khi cơ sở hạ tầng đám mây tiếp tục mở rộng. Các tổ chức phải phát triển khả năng ứng phó sự cố chuyên biệt phù hợp với cả kiến trúc đám mây và môi trường Linux để bảo vệ hiệu quả chống lại các mối đe dọa dai dẳng tiên tiến này.