แคมเปญมัลแวร์ Linux ใหม่ที่ซับซ้อนได้ถูกค้นพบ ซึ่งใช้แนวทางที่ผิดปกติในการรักษาความคงอยู่ในระบบที่ถูกบุกรุก นักวิจัยด้านความปลอดภัยจาก Red Canary ได้ระบุผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่สำคัญของ Apache ActiveMQ จากนั้นจึงแพทช์ช่องโหว่ด้านความปลอดภัยเดียวกันที่พวกเขาใช้เข้าสู่ระบบทันที
กลยุทธ์การแพทช์ตัวเองที่ผิดปกติ
มัลแวร์ที่ได้ชื่อว่า DripDropper แสดงถึงการเปลี่ยนแปลงทางยุทธวิธีในพฤติกรรมของอาชญากรไซเบอร์ หลังจากใช้ประโยชน์จาก CVE-2023-46604 ซึ่งเป็นช่องโหว่ที่มีความรุนแรงสูงสุดในโปรโตคอล Java OpenWire ของ Apache ActiveMQ สำเร็จแล้ว ผู้โจมตีจะดำเนินการแก้ไขข้อบกพร่องเดียวกันที่พวกเขาใช้ประโยชน์ แนวทางที่ขัดกับสัญชาตญาณนี้มีจุดประสงค์เชิงกลยุทธ์สองประการ คือ ป้องกันไม่ให้ตระกูลมัลแวร์อื่นเข้าถึงระบบเดียวกัน และทำให้การบุกรุกครั้งแรกตรวจจับและติดตามได้ยากขึ้น
นักวิจัยจาก Red Canary ระบุว่า แม้ยุทธวิธีนี้จะไม่ใช่เรื่องใหม่โดยสิ้นเชิง แต่มันแสดงให้เห็นถึงระดับความซับซ้อนที่รับประกันการควบคุมโครงสร้างพื้นฐานที่ถูกบุกรุกอย่างเฉพาะเจาะจง กลยุทธ์นี้ป้องกันผู้คุกคามคู่แข่งได้อย่างมีประสิทธิภาพ ขณะเดียวกันก็ลดความเป็นไปได้ที่ผู้ดูแลระบบจะค้นพบการละเมิดผ่านการสแกนช่องโหว่ตามปกติ
รายละเอียดช่องโหว่
- CVE ID: CVE-2023-46604
- CVSS Score: 10.0 (ความรุนแรงสูงสุด)
- ซอฟต์แวร์ที่ได้รับผลกระทบ: โปรโตคอล Java OpenWire ของ Apache ActiveMQ
- สถานะการแก้ไข: มีแพตช์ให้ใช้งานมาเกือบ 2 ปีแล้ว
การใช้งานทางเทคนิคและการส่งมอบเพย์โหลด
การโจมตีเริ่มต้นด้วยการใช้ประโยชน์จากช่องโหว่ของ Apache ActiveMQ ซึ่งมีคะแนนอันตรายสูงสุด 10 ในระดับ Common Vulnerability Scoring System (CVSS) เมื่อสร้างการเข้าถึงเบื้องต้นได้แล้ว ผู้โจมตีจะปรับใช้เฟรมเวิร์ก Command and Control รวมถึง Sliver และ Cloudflare Tunnels เพื่อรักษาความคงอยู่ระยะยาวในระบบเป้าหมาย
มัลแวร์จะปรับเปลี่ยนไฟล์การกำหนดค่า SSH เพื่อเปิดใช้งานการเข้าสู่ระบบ root ทำให้ผู้โจมตีได้รับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบอย่างครอบคลุม DripDropper เองถูกส่งมอบเป็นไบนารี PyInstaller ELF ที่เข้ารหัสซึ่งต้องใช้รหัสผ่านในการดำเนินการ ทำให้การวิศวกรรมย้อนกลับมีความท้าทายมากขึ้นสำหรับนักวิจัยด้านความปลอดภัยและระบบวิเคราะห์อัตโนมัติ
องค์ประกอบของการโจมตี
- การเข้าถึงเบื้องต้น: การใช้ช่องโหว่ของ Apache ActiveMQ
- เฟรมเวิร์ก C2: Sliver , Cloudflare Tunnels
- การสื่อสาร: Dropbox พร้อม bearer tokens ที่ฝังไว้ในโค้ด
- การคงอยู่ในระบบ: การแก้ไขการกำหนดค่า SSH , cron jobs
- เพย์โหลดรอง: ตัวตรวจสอบกระบวนการ, การเข้าถึง SSH ผ่านผู้ใช้ 'games'
การสื่อสารผ่านบริการที่ถูกต้องตามกฎหมาย
DripDropper สร้างการสื่อสารกับผู้ปฏิบัติการผ่านบัญชี Dropbox โดยใช้โทเค็นผู้ถือที่ฮาร์ดโค้ด แนวทางนี้สะท้อนยุทธวิธีที่ใช้โดยตระกูลมัลแวร์ที่ซับซ้อนอื่น ๆ เช่น CHIMNEYSWEEP และ Mustang Panda โดยใช้ประโยชน์จากบริการจัดเก็บข้อมูลคลาวด์ที่ถูกต้องตามกฎหมายเพื่อผสมผสานการรับส่งข้อมูลที่เป็นอันตรายเข้ากับการสื่อสารทางธุรกิจปกติ
มัลแวร์มักจะปรับใช้ส่วนประกอบรองสองส่วนหลังจากสร้างฐานที่มั่นแล้ว ส่วนประกอบแรกจะตรวจสอบกระบวนการของระบบและรักษาการติดต่อกับศูนย์บัญชาการ Dropbox โดยสร้างความคงอยู่ผ่านงาน cron ที่กำหนดเวลาไว้ ส่วนที่สองจะสร้างชื่อไฟล์แบบสุ่มแปดตัวอักษรและปรับเปลี่ยนการตั้งค่า SSH เพิ่มเติมเพื่อเปิดใช้งานการเข้าถึงแบบลับผ่านบัญชีผู้ใช้ 'games'
การทำให้การหลอกลวงสมบูรณ์
ในขั้นตอนสุดท้ายของการโจมตี DripDropper จะดาวน์โหลดไฟล์ JAR ของ ActiveMQ ที่ถูกต้องตามกฎหมายโดยตรงจากที่เก็บ Maven อย่างเป็นทางการของ Apache ไฟล์สะอาดเหล่านี้จะแทนที่เวอร์ชันที่มีช่องโหว่ที่มีอยู่เดิมในระบบ ซึ่งแพทช์ช่องโหว่ด้านความปลอดภัยได้อย่างมีประสิทธิภาพและลบร่องรอยที่ชัดเจนของการบุกรุก กระบวนการทำความสะอาดที่ซับซ้อนนี้ช่วยให้ผู้โจมตีสามารถไล่ตามวัตถุประสงค์สูงสุดของพวกเขา ไม่ว่าจะเป็นการขุดสกุลเงินดิจิทัล การเคลื่อนไหวในเครือข่ายด้านข้าง หรือการขโมยข้อมูล โดยไม่ทำให้เกิดการแจ้งเตือนด้านความปลอดภัย
มาตรการรักษาความปลอดภัยที่แนะนำ
- ปิดการใช้งานการเข้าสู่ระบบ SSH ด้วยบัญชี root
- เรียกใช้บริการเว็บภายใใต้บัญชีที่ไม่ใช่ root
- ใช้การจำกัดการเข้าถึงเครือข่าย (firewalls, VPNs)
- ปรับใช้การจัดการแพตช์ตามนโยบาย ( Ansible , Puppet )
- เปิดใช้งานการบันทึกข้อมูลอย่างครอบคลุมสำหรับกิจกรรมคลาวด์
- รักษาการติดตั้ง ActiveMQ ให้เป็นเวอร์ชันล่าสุด
กลยุทธ์การป้องกันและการบรรเทา
การป้องกันที่สำคัญที่สุดต่อเวกเตอร์การโจมตีนี้ยังคงเป็นการรักษาเวอร์ชันซอฟต์แวร์ปัจจุบันและการใช้กระบวนการจัดการแพทช์ที่แข็งแกร่ง องค์กรที่ใช้ Apache ActiveMQ ต้องแน่ใจว่าพวกเขากำลังใช้งานเวอร์ชันที่แพทช์แล้ว เนื่องจากช่องโหว่ที่ถูกใช้ประโยชน์ได้รับการแก้ไขมาเกือบสองปีแล้ว
ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ใช้มาตรการเสริมความแข็งแกร่งอย่างครอบคลุม รวมถึงการปิดใช้งานการเข้าสู่ระบบ SSH แบบ root การใช้งานบริการเว็บภายใต้บัญชีที่ไม่มีสิทธิพิเศษ และการจำกัดการเข้าถึงเครือข่ายผ่านไฟร์วอลล์และการกำหนดค่า VPN เครื่องมือจัดการตามนโยบายเช่น Ansible หรือ Puppet สามารถช่วยให้มั่นใจในการแพทช์ที่สอดคล้องกันทั่วทั้งโครงสร้างพื้นฐาน ขณะเดียวกันก็รักษาเอกสารรายละเอียดของการเปลี่ยนแปลงระบบ
การค้นพบ DripDropper เน้นย้ำถึงความซับซ้อนที่พัฒนาขึ้นของมัลแวร์ที่มุ่งเป้าไปที่ Linux โดยเฉพาะอย่างยิ่งเมื่อโครงสร้างพื้นฐานคลาวด์ยังคงขยายตัวต่อไป องค์กรต้องพัฒนาความสามารถในการตอบสนองต่อเหตุการณ์เฉพาะทางที่ปรับให้เหมาะสมกับทั้งสถาปัตยกรรมคลาวด์และสภาพแวดล้อม Linux เพื่อป้องกันภัยคุกคามขั้นสูงแบบต่อเนื่องเหล่านี้ได้อย่างมีประสิทธิภาพ