Lỗ hổng ActiveMQ mở đường cho DripDropper, HelloKitty và nhiều mã độc khác

[CyberThao]

Tin tặc khai thác lỗ hổng và hành vi vá ngược bất thường​

Một lỗ hổng đã tồn tại gần hai năm trong Apache ActiveMQ (CVE-2023-46604, điểm CVSS 10.0) đang bị tin tặc khai thác để chiếm quyền truy cập liên tục vào hệ thống Linux trên nền tảng đám mây. Lỗ hổng này cho phép thực thi mã từ xa và đã được vá từ tháng 10/2023, nhưng vẫn bị lợi dụng trên diện rộng.

Điểm bất thường là sau khi khai thác, kẻ tấn công lại chủ động vá lỗ hổng, nhằm ngăn chặn đối thủ khác tiếp tục xâm nhập và tránh bị phát hiện. Báo cáo từ Red Canary cho biết, nhóm tấn công còn sử dụng nhiều công cụ điều khiển như Sliver và Cloudflare Tunnels để duy trì kênh C2 bí mật.
Từ khi bị phát hiện, lỗ hổng này đã bị nhiều nhóm tận dụng để phát tán ransomware HelloKitty, rootkit Linux, botnet GoTitan và shell web Godzilla.

DripDropper và cơ chế duy trì quyền truy cập​

Trong chiến dịch gần đây, kẻ tấn công chỉnh sửa cấu hình SSHD để cho phép đăng nhập root, sau đó cài đặt trình tải xuống có tên DripDropper. Đây là mã độc ELF được đóng gói bằng PyInstaller, yêu cầu mật khẩu khi chạy để chống phân tích. DripDropper liên lạc với tài khoản Dropbox do tin tặc kiểm soát, tận dụng dịch vụ hợp pháp để ngụy trang và tránh bị giám sát.
DripDropper tải về hai tệp độc hại: một tệp dùng để giám sát tiến trình và duy trì liên lạc với Dropbox; một tệp khác thay đổi cấu hình SSH, đóng vai trò sao lưu cho quyền truy cập. Việc duy trì hoạt động còn dựa vào chỉnh sửa tệp 0anacron trong thư mục cron (/etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly, /etc/cron.monthly).
Giai đoạn cuối cùng, nhóm tấn công tải và áp dụng bản vá chính thức từ Apache Maven để khắc phục lỗ hổng CVE-2023-46604. Tuy nhiên, hành động này không ảnh hưởng đến hoạt động của chúng, vì các cơ chế duy trì quyền truy cập đã được thiết lập từ trước.
Theo các chuyên gia, kỹ thuật “vá ngược” này hiếm nhưng không mới. Tháng trước, ANSSI (Pháp) cũng từng ghi nhận một nhóm từ Trung Quốc sử dụng cách tương tự để đảm bảo độc chiếm quyền truy cập và che giấu vết tấn công ban đầu.
Chiến dịch lần này là lời nhắc nhở rõ ràng về tầm quan trọng của việc:

• Áp dụng bản vá bảo mật kịp thời
• Giới hạn quyền truy cập dịch vụ nội bộ bằng IP hoặc VPN đáng tin cậy
• Theo dõi nhật ký hệ thống đám mây để phát hiện bất thường

Đọc chi tiết tại đây: https://thehackernews.com/2025/08/apache-activemq-flaw-exploited-to.html

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview