Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mạng phức tạp, trong đó tin tặc khai thác một lỗ hổng CVE nghiêm trọng trong Apache ActiveMQ. Điểm đáng chú ý là sau khi giành quyền truy cập vào hệ thống của nạn nhân, kẻ tấn công thực hiện bước bất thường là vá lỗi bảo mật này.

Phát hiện Chiến dịch Khai thác CVE-2023-46604

Nhóm tình báo mối đe dọa của Red Canary đã quan sát được hành vi phản trực giác này trên hàng chục máy chủ Linux dựa trên đám mây đã bị xâm phạm. Phát hiện này cho thấy một phương pháp chiến lược nhằm duy trì quyền kiểm soát độc quyền đối với các hệ thống bị vi phạm. Chiến dịch này tập trung vào CVE-2023-46604, một lỗ hổng CVE thực thi mã từ xa (remote code execution) có mức độ nghiêm trọng cao trong Apache ActiveMQ.

Apache ActiveMQ là một message broker mã nguồn mở được sử dụng rộng rãi. Mặc dù đã được công bố gần ba năm, lỗ hổng này vẫn duy trì khả năng bị khai thác cao, đạt 94.44% theo điểm EPSS (Exploit Prediction Scoring System), biến nó thành mục tiêu hấp dẫn đối với tội phạm mạng. Thông tin chi tiết về lỗ hổng CVE này có thể được tìm thấy tại NVD NIST.

Phương pháp Tấn công và Công cụ Sử dụng

Chi tiết về Chuỗi Khai thác Ban đầu

Cuộc điều tra của Red Canary đã hé lộ một phương pháp tấn công phức tạp, bao gồm nhiều giai đoạn xâm nhập. Sau khi khai thác thành công lỗ hổng CVE ActiveMQ ban đầu, kẻ tấn công đã triển khai nhiều công cụ điều khiển và kiểm soát (C2), bao gồm các Sliver implant và Cloudflare Tunnels.

Các công cụ này được sử dụng để thiết lập quyền truy cập bền vững vào hệ thống nạn nhân. Trong nhiều trường hợp, đối tượng tấn công đã sửa đổi cấu hình SSH để bật quyền đăng nhập root, từ đó cấp cho chúng đặc quyền hệ thống tối đa. Đây là một bước quan trọng để củng cố quyền kiểm soát và chuẩn bị cho các hoạt động tiếp theo.

Mã độc DripDropper

Chiến dịch này đã giới thiệu một biến thể mã độc chưa từng được biết đến trước đây, có tên là DripDropper. Đây là một tệp thực thi PyInstaller được mã hóa, yêu cầu mật khẩu để chạy. DripDropper giao tiếp với các tài khoản Dropbox do kẻ tấn công kiểm soát, sử dụng các bearer token được mã hóa cứng.

Điều này chứng minh cách kẻ tấn công lợi dụng các dịch vụ đám mây hợp pháp để hòa trộn lưu lượng độc hại với các giao tiếp thông thường, gây khó khăn cho việc phát hiện. DripDropper tạo ra hai tệp độc hại trên các hệ thống bị xâm nhập.

Tệp đầu tiên thực hiện nhiều chức năng khác nhau, bao gồm giám sát quy trình và thiết lập khả năng tồn tại thông qua việc sửa đổi các tác vụ cron. Tệp thứ hai, với tên ngẫu nhiên gồm tám ký tự, sửa đổi cấu hình SSH và chuẩn bị hệ thống cho các cơ chế truy cập bền vững bổ sung.

Chiến thuật Vá lỗi Sau Khai thác

Trong một động thái chiến thuật đáng chú ý, kẻ tấn công đã tải xuống các tệp JAR ActiveMQ hợp lệ từ kho lưu trữ Apache Maven. Mục đích là để vá lỗ hổng CVE-2023-46604 trên các hệ thống đã bị xâm nhập. Hành vi bất thường này phục vụ hai mục đích chính:

• Giảm khả năng bị phát hiện bởi các công cụ quét lỗ hổng.
• Ngăn chặn các đối tượng tấn công cạnh tranh khác khai thác cùng một lỗ hổng CVE để giành quyền truy cập.

Các nhà nghiên cứu bảo mật nhận định rằng đây là một cách hiệu quả để ngăn chặn các đối thủ khác, đảm bảo rằng quyền truy cập của chúng vẫn là độc quyền. Kỹ thuật này cũng đã được quan sát thấy với các lỗ hổng nghiêm trọng khác, cho thấy một xu hướng mới nổi trong các mối đe dọa dai dẳng nâng cao (APT). Thông tin chi tiết về chiến dịch có thể tham khảo từ bài phân tích của Red Canary Threat Intelligence.

Tác động và Rủi ro Hệ thống

Chiến dịch này nhấn mạnh những rủi ro dai dẳng mà cơ sở hạ tầng Linux đám mây đang đối mặt. CVE-2023-46604 tiếp tục cho phép triển khai nhiều họ mã độc khác nhau, bao gồm TellYouThePass, Ransomhub, HelloKitty ransomware và Kinsing cryptominers. Việc tiếp tục khai thác lỗ hổng CVE này cho thấy các lỗi cũ vẫn là những vectơ tấn công nguy hiểm trong các môi trường đám mây đang mở rộng nhanh chóng.

Biện pháp Phòng ngừa và Giảm thiểu

Các chuyên gia bảo mật nhấn mạnh rằng các bản quét lỗ hổng sạch không đảm bảo an ninh hệ thống, đặc biệt khi các đối tượng tấn công tinh vi sử dụng các kỹ thuật vá lỗi sau khai thác. Các tổ chức phải thực hiện giám sát toàn diện, quản lý SSH dựa trên chính sách và quy trình xác minh bản vá bảo mật chủ động để phòng thủ chống lại các mối đe dọa đang phát triển này.

Chiến dịch này cũng làm nổi bật cách các đối tượng tấn công ngày càng nhắm mục tiêu vào các hệ thống Linux khi việc áp dụng đám mây tăng tốc trong môi trường doanh nghiệp. Việc cập nhật bản vá bảo mật thường xuyên và đúng lúc là cực kỳ quan trọng để giảm thiểu rủi ro từ các lỗ hổng CVE đã biết.

Các chỉ số thỏa hiệp (IOCs)

Dựa trên phân tích, các chỉ số thỏa hiệp chính liên quan đến chiến dịch này bao gồm:

• Tên mã độc: DripDropper
• Công cụ C2: Sliver implants, Cloudflare Tunnels
• Phương thức giao tiếp: Sử dụng tài khoản Dropbox với bearer token mã hóa cứng
• Lỗ hổng khai thác: CVE-2023-46604 trong Apache ActiveMQ