Ameaça de malware DripDropper explora falha no Apache ActiveMQ
Um grupo de atacantes está explorando uma vulnerabilidade crítica no Apache ActiveMQ, identificada como CVE-2023-46604, que permite a execução remota de código em sistemas Linux na nuvem. Essa falha, que possui uma pontuação CVSS de 10.0, foi corrigida em outubro de 2023, mas já está sendo amplamente utilizada para implantar diversos tipos de malware, incluindo o DripDropper. Este downloader, que requer uma senha para execução, se comunica com uma conta do Dropbox controlada pelos atacantes, permitindo que eles mantenham o controle sobre os sistemas comprometidos. Os pesquisadores da Red Canary observaram que, após obter acesso inicial, os atacantes estão aplicando patches na vulnerabilidade explorada para evitar que outros adversários a utilizem, uma tática incomum que demonstra a sofisticação do ataque. Além disso, o DripDropper modifica arquivos de configuração do SSH para garantir acesso persistente. Essa situação ressalta a importância de aplicar patches de segurança de forma oportuna e monitorar atividades anômalas em ambientes de nuvem.