Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 20 Agosto 2025 10:40
Gli specialisti di Red Canary hanno scoperto un’insolita campagna che utilizza il nuovo malware DripDropper, prendendo di mira i server cloud Linux. Gli aggressori hanno ottenuto l’accesso tramite la vulnerabilità CVE-2023-46604 in Apache ActiveMQ dopodiché hanno preso piede nel sistema e hanno installato una patch per chiudere proprio quella falla dalla quale erano entrati.
Questa mossa paradossale ha permesso loro non solo di coprire le proprie tracce, ma anche di bloccare l’accesso ai concorrenti, lasciando il server infetto sotto il loro completo controllo.
Gli analisti hanno registrato l’esecuzione di comandi di ricognizione su decine di host vulnerabili. Su alcuni di essi, gli aggressori hanno implementato strumenti di controllo remoto, da Sliver ai tunnel di Cloudflare , fornendo comunicazioni segrete a lungo termine con i server C2 . In un episodio, hanno modificato le impostazioni sshd, incluso l’accesso root, e hanno avviato il downloader DripDropper.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
DripDropper è un file ELF creato tramite PyInstaller, protetto da password e che comunica con l’ account Dropbox degli aggressori tramite un token. Lo strumento crea file dannosi aggiuntivi, li installa nel sistema tramite cron e apporta modifiche alle configurazioni SSH, aprendo nuove vie di accesso occulte agli operatori. L’utilizzo di servizi cloud legittimi come Dropbox o Telegram come canali C2 consente alle attività dannose di mascherarsi da normale traffico di rete.
L’ultimo passaggio dell’attacco è stato scaricare e installare le patch JAR ufficiali di ActiveMQ dal dominio Apache Maven. In questo modo, gli aggressori hanno chiuso la vulnerabilità attraverso la quale erano penetrati, riducendo al minimo il rischio di ripetute scansioni di compromissione e di interferenze da parte di altri hacker.
Gli esperti sottolineano che lo sfruttamento di CVE-2023-46604 continua nonostante la sua età e viene utilizzato non solo per DripDropper, ma anche per la distribuzione di TellYouThePass , del malware HelloKitty o del miner Kinsing .
Per ridurre i rischi, gli esperti raccomandano alle organizzazioni di rafforzare la protezione degli ambienti Linux , soprattutto nel cloud: utilizzare la gestione automatizzata della configurazione tramite Ansible o Puppet, impedire gli accessi root, eseguire servizi da utenti senza privilegi, implementare tempestivamente le patch e controllare le regole di accesso alla rete. Anche il monitoraggio dei log dell’ambiente cloud svolge un ruolo importante, consentendo di rilevare tempestivamente attività sospette.
Il caso dimostra chiaramente che anche una vulnerabilità “corretta” non garantisce la sicurezza se la correzione è stata fornita dagli aggressori stessi. Documentare gli aggiornamenti e fornire una risposta tempestiva da parte degli amministratori rimangono fattori chiave per la protezione dei sistemi critici.
RedazioneLa saga sulla sicurezza dei componenti di React Server continua questa settimana. Successivamente alla correzione di una vulnerabilità critica relativa all’esecuzione di codice remoto (RCE) che ha ...
Un nuovo allarme arriva dal sottobosco del cybercrime arriva poche ore fa. A segnalarlo l’azienda ParagonSec, società specializzata nel monitoraggio delle attività delle cyber gang e dei marketpla...
Cisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la t...
Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi pien...
Notepad++ è spesso preso di mira da malintenzionati perché il software è popolare e ampiamente utilizzato. Una vulnerabilità recentemente scoperta nell’editor di testo e codice open source Notep...
