Redazione RHC : 20 agosto 2025 10:41
SeLos especialistas de Red Canary han descubierto una campaña inusual que utiliza el nuevo malware DripDropper, dirigido a servidores Linux en la nube. Los atacantes obtuvieron acceso a través de la vulnerabilidad CVE-2023-46604 en Apache ActiveMQ, se afianzaron en el sistema e instalaron un parche para cerrar la vulnerabilidad por la que habían entrado.
Esta maniobra paradójica les permitió no solo ocultar sus rastros, sino también bloquear el acceso a la competencia, dejando el servidor infectado bajo su control total.
Los analistas registraron la ejecución de comandos de reconocimiento en docenas de hosts vulnerables. En algunos de ellos, los atacantes implementaron herramientas de control remoto, desde Sliver hasta túneles de Cloudflare, que proporcionaban comunicación secreta a largo plazo con servidores C2. En un incidente, modificaron la configuración de sshd, incluido el acceso root, e iniciaron el descargador DripDropper.
DripDropper es un archivo ELF creado con PyInstaller, protegido con contraseña, que se comunica con la cuenta de Dropbox de los atacantes mediante un token. La herramienta crea archivos maliciosos adicionales, los instala en el sistema mediante cron y modifica la configuración de SSH, abriendo nuevas rutas de acceso sigilosas para los operadores. El uso de servicios legítimos en la nube como Dropbox o Telegram como canales C2 permite que la actividad maliciosa se haga pasar por tráfico de red normal.
El paso final del ataque fue descargar e instalar los parches JAR oficiales de ActiveMQ desde el dominio Apache Maven. De esta forma, los atacantes cerraron la vulnerabilidad por la que habían penetrado, minimizando el riesgo de repetidos análisis de vulnerabilidad e interferencias de otros hackers.
Los expertos señalan que la explotación de CVE-2023-46604 continúa a pesar de su antigüedad y se está utilizando no solo para DripDropper, sino también para la distribución de TellYouThePass, el malware HelloKitty, o el minero Kinsing.
Para reducir los riesgos, los expertos recomiendan que las organizaciones refuercen la protección de los entornos Linux, especialmente en la nube: utilicen la gestión automatizada de la configuración mediante Ansible o Puppet, impidan el acceso root, ejecuten servicios como usuarios sin privilegios, implementen la aplicación oportuna de parches y controlen las reglas de acceso a la red. La monitorización de los registros del entorno en la nube también desempeña un papel importante, ya que permite la detección temprana de actividades sospechosas. El caso demuestra claramente que incluso una vulnerabilidad corregida no garantiza la seguridad si la solución fue proporcionada por los propios atacantes. Documentar las actualizaciones y proporcionar una respuesta oportuna por parte de los administradores siguen siendo factores clave para la protección de los sistemas críticos.
RedazioneMientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...
Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...
Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...
«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...
