DripDropper sfrutta una vulnerabilità di Apache ActiveMQ e si garantisce persistenza ed esclusività grazie al patching post-infezione.
Autore: Redazione SecurityOpenLab
Si chiama DripDropper il malware per Linux che si distingue perché sfrutta una vecchia falla di sicurezza e subito dopo la chiude. Un comportamento inedito che rende più difficile individuare sia la sua presenza sia il vettore d’attacco iniziale, perché così facendo si insinua nei sistemi e si garantisce l’esclusività sull’accesso. Questa novità si inserisce in un contesto ben più ampio in cui, come segnalato più volte, le minacce Linux crescono costantemente, complice la diffusione di server Linux nel cloud e nelle infrastrutture aziendali, configurazioni errate e vulnerabilità non sanate. Gli attacchi si evolvono verso modalità sempre più invisibili e persistenti. Un recente esempio di ciò è DripDropper, che ha iniziato a diffondersi sfruttando una vulnerabilità critica di Apache ActiveMQ monitorata con la sigla CVE-2023-46604, a cui è assegnato un punteggio CVSS di 10.0. Il componente in questione è un broker di messaggi Java ampiamente usato nei sistemi cloud basati su Linux e la falla è di tipo RCE, ossia consente l’esecuzione di comandi arbitrari sul server vulnerabile.
Come spesso accade, la falla è stata chiusa con una patch pubblicata a fine ottobre 2023, pertanto a risultare vulnerabili sono solo quei server (purtroppo numerosi) che non sono stati aggiornati con le correzioni di sicurezza. In questi casi, DripDropper riesce a consegnare all’attaccante l’accesso root mediante l’installazione di impianti di controllo come Sliver e Cloudflare Tunnels, che permettono ai cyber criminali un controllo continuo e invisibile della macchina.
Fin qui nulla di nuovo. La particolarità di DripDropper arriva dopo l’infezione e dopo essersi garantito la persistenza tramite altri meccanismi: scarica e installa le patch ufficiali per la vulnerabilità che ha appena sfruttato. Più nel dettaglio, il malware sostituisce i file JAR infetti di ActiveMQ con le versioni aggiornate provenienti dal repository Apache Maven, chiudendo di fatto la falla CVE-2023-46604 che ha sfruttato proprio per entrare nella infrastruttura di rete. Non è una condotta del tutto inedita: di recente gruppi APT cinesi hanno attuato una tecnica analoga, che comunque resta rara. Ha una duplice funzione: impedisce ad altri cybercriminali di prendere il controllo della stessa macchina, e agli analisti di risalire al vettore iniziale.
Quanto al malware, consiste in un file ELF cifrato generato con PyInstaller. Richiede una password per eseguire il codice: sembra una misura banale, ma è fondamentale per ostacolare le analisi forensi e bypassare le sandbox automatiche, così da rallentare la risposta da parte dei difensori. I ricercatori hanno inoltre scoperto che DripDropper si serve di un account Dropbox controllato dagli attaccanti tramite token, per comunicare, scaricare istruzioni e payload ulteriori. Tali payload consistono in genere in due file malevoli: il primo, con nome e posizione variabile, serve per monitorare processi o per egire da downloader per componenti futuri. Il secondo è un file generato con nome casuale, che ha in compito di modificare la configurazione SSH per garantire un accesso persistente. Entrambi i file si installano come cronjob nelle directory /etc/cron.*, garantendo riattivazione automatica anche in caso di riavvio.
Non è stato ancora identificato con certezza il gruppo di sviluppatori dietro a DripDropper. La campagna attualmente in corso sembra mirare soprattutto ai server cloud, sfruttando la ridotta frequenza di aggiornamento e la complessità del patch management in ambienti cloud e multitenant. Gli esperti di Red Canary hanno riscontrato una focalizzazione su infrastrutture critiche e server aziendali online H24. Le motivazioni degli attaccanti spaziano dalla creazione di botnet per il mining di criptovalute, all’utilizzo fraudolento delle risorse, al mantenimento di un canale di accesso futuro per movimenti laterali ed escalation di attacchi su vasta scala.
Quanto scoperto finora lascia intendere che DripDropper è una minaccia insidiosa: in assenza di log dettagliati e di adeguate verifiche per individuare chi ha applicato le patch e quando, non è possibile stabilire il vettore di attacco e individuare il momento in cui si è verificata la violazione. Al fine di individuare questa minaccia occorre allestire policy centralizzate di gestione delle patch, imporre l’uso di password complesse, segmentare le risorse e monitorare costantemente i log.