2025年8月19日Ravie LakshmananLinux / マルウェア
脅威アクターは、Apache ActiveMQの約2年前のセキュリティ脆弱性を悪用し、クラウドLinuxシステムへの永続的なアクセスを獲得し、DripDropperと呼ばれるマルウェアを展開しています。
しかし、珍しいことに、正体不明の攻撃者は初期アクセスを確保した後、他の攻撃者によるさらなる悪用を防ぎ、検知を回避するために、悪用した脆弱性にパッチを適用していることが観測されています、とRed CanaryはThe Hacker Newsと共有したレポートで述べています。
「その後のアドバーサリーのコマンド&コントロール(C2)ツールはエンドポイントごとに異なり、SliverやCloudflare Tunnelsなどが含まれ、長期的な隠密コマンド&コントロールを維持していました」と研究者のChristina Johns、Chris Brook、Tyler Edmondsは述べています。
この攻撃は、Apache ActiveMQの最大深刻度のセキュリティ脆弱性(CVE-2023-46604、CVSSスコア:10.0)を悪用しています。これはリモートコード実行の脆弱性で、任意のシェルコマンドを実行される可能性があります。この問題は2023年10月下旬に修正されました。
このセキュリティ欠陥はその後、広範囲に悪用されており、複数の脅威アクターがこれを利用して、HelloKittyランサムウェア、Linuxルートキット、GoTitanボットネットマルウェア、Godzillaウェブシェルなど、さまざまなペイロードを展開しています。
Red Canaryが検知した攻撃活動では、脅威アクターがアクセス権を利用して既存のsshd設定を変更し、rootログインを有効化することで権限を昇格させ、未知のダウンローダーであるDripDropperをドロップすることが確認されています。
PyInstaller実行可能形式(ELFバイナリ)のDripDropperは、解析を防ぐために実行時にパスワードを要求します。また、攻撃者が管理するDropboxアカウントと通信し、脅威アクターが正規のサービスを利用して通常のネットワーク活動に紛れ込み、検知を回避する傾向が強まっていることを改めて示しています。
このダウンローダーは最終的に2つのファイルの導管として機能し、そのうちの1つはエンドポイントごとにプロセス監視からDropboxへの連絡による追加指示の取得まで、さまざまなアクションを実行します。ドロップされたファイルの永続性は、/etc/cron.hourly、/etc/cron.daily、/etc/cron.weekly、/etc/cron.monthlyディレクトリ内の0anacronファイルを変更することで実現されています。
DripDropperによってドロップされる2つ目のファイルも、コマンド受信用にDropboxへ接続するよう設計されており、既存のSSH関連設定ファイルも変更します。これは永続的なアクセスのためのバックアップ手段である可能性が高いです。最終段階では、攻撃者がApache MavenからCVE-2023-46604のパッチをダウンロードし、実質的に脆弱性を塞ぎます。
「攻撃者はすでに他の永続化手段を確立しているため、脆弱性にパッチを適用しても自らの活動には支障がありません」と研究者は述べています。
確かに珍しいものの、この手法は新しいものではありません。先月、フランスの国家サイバーセキュリティ機関ANSSIは、中国系の初期アクセスブローカーが同様の手法を用いてシステムへのアクセスを確保し、他の脅威アクターによる脆弱性の悪用を防ぎ、最初に使われたアクセス経路を隠蔽していたことを詳述しています。
このキャンペーンは、組織がタイムリーにパッチを適用し、信頼できるIPアドレスやVPNによるインバウンドルールの設定で内部サービスへのアクセスを制限し、クラウド環境のログ監視で異常な活動を検知する必要性を改めて思い起こさせます。
翻訳元: https://thehackernews.com/2025/08/apache-activemq-flaw-exploited-to.html