Redazione RHC : 20 agosto 2025 10:41
SeLos especialistas de Red Canary han descubierto una campaña inusual que utiliza el nuevo malware DripDropper, dirigido a servidores Linux en la nube. Los atacantes obtuvieron acceso a través de la vulnerabilidad CVE-2023-46604 en Apache ActiveMQ, se afianzaron en el sistema e instalaron un parche para cerrar la vulnerabilidad por la que habían entrado.
Esta maniobra paradójica les permitió no solo ocultar sus rastros, sino también bloquear el acceso a la competencia, dejando el servidor infectado bajo su control total.
Los analistas registraron la ejecución de comandos de reconocimiento en docenas de hosts vulnerables. En algunos de ellos, los atacantes implementaron herramientas de control remoto, desde Sliver hasta túneles de Cloudflare, que proporcionaban comunicación secreta a largo plazo con servidores C2. En un incidente, modificaron la configuración de sshd, incluido el acceso root, e iniciaron el descargador DripDropper.
DripDropper es un archivo ELF creado con PyInstaller, protegido con contraseña, que se comunica con la cuenta de Dropbox de los atacantes mediante un token. La herramienta crea archivos maliciosos adicionales, los instala en el sistema mediante cron y modifica la configuración de SSH, abriendo nuevas rutas de acceso sigilosas para los operadores. El uso de servicios legítimos en la nube como Dropbox o Telegram como canales C2 permite que la actividad maliciosa se haga pasar por tráfico de red normal.
El paso final del ataque fue descargar e instalar los parches JAR oficiales de ActiveMQ desde el dominio Apache Maven. De esta forma, los atacantes cerraron la vulnerabilidad por la que habían penetrado, minimizando el riesgo de repetidos análisis de vulnerabilidad e interferencias de otros hackers.
Los expertos señalan que la explotación de CVE-2023-46604 continúa a pesar de su antigüedad y se está utilizando no solo para DripDropper, sino también para la distribución de TellYouThePass, el malware HelloKitty, o el minero Kinsing.
Para reducir los riesgos, los expertos recomiendan que las organizaciones refuercen la protección de los entornos Linux, especialmente en la nube: utilicen la gestión automatizada de la configuración mediante Ansible o Puppet, impidan el acceso root, ejecuten servicios como usuarios sin privilegios, implementen la aplicación oportuna de parches y controlen las reglas de acceso a la red. La monitorización de los registros del entorno en la nube también desempeña un papel importante, ya que permite la detección temprana de actividades sospechosas. El caso demuestra claramente que incluso una vulnerabilidad corregida no garantiza la seguridad si la solución fue proporcionada por los propios atacantes. Documentar las actualizaciones y proporcionar una respuesta oportuna por parte de los administradores siguen siendo factores clave para la protección de los sistemas críticos.
RedazioneHace exactamente 40 años, el 20 de noviembre de 1985, Microsoft lanzó Windows 1.0 , la primera versión de Windows, que intentó transformar el entonces ordenador personal, una máquina con una lín...
18 de noviembre de 2025 – Tras horas de interrupciones generalizadas , el incidente que afectó a la red global de Cloudflare parece estar cerca de resolverse. La compañía anunció que impleme...
Dos graves vulnerabilidades en el sistema operativo AIX de IBM podrían permitir a atacantes remotos ejecutar comandos arbitrarios en los sistemas afectados, lo que ha llevado a la compañía a public...
Masimo, una empresa estadounidense que desarrolla tecnologías de monitorización médica, ha ganado otra batalla legal contra Apple . Un jurado federal le otorgó 634 millones de dólares por infring...
El software espía (también conocido como aplicaciones espía) representa una de las amenazas más insidiosas y peligrosas de la era digital. Se trata de programas maliciosos diseñados para infiltra...
