Redazione RHC : 20 Agosto 2025 10:40
Gli specialisti di Red Canary hanno scoperto un’insolita campagna che utilizza il nuovo malware DripDropper, prendendo di mira i server cloud Linux. Gli aggressori hanno ottenuto l’accesso tramite la vulnerabilità CVE-2023-46604 in Apache ActiveMQ dopodiché hanno preso piede nel sistema e hanno installato una patch per chiudere proprio quella falla dalla quale erano entrati.
Questa mossa paradossale ha permesso loro non solo di coprire le proprie tracce, ma anche di bloccare l’accesso ai concorrenti, lasciando il server infetto sotto il loro completo controllo.
Gli analisti hanno registrato l’esecuzione di comandi di ricognizione su decine di host vulnerabili. Su alcuni di essi, gli aggressori hanno implementato strumenti di controllo remoto, da Sliver ai tunnel di Cloudflare , fornendo comunicazioni segrete a lungo termine con i server C2 . In un episodio, hanno modificato le impostazioni sshd, incluso l’accesso root, e hanno avviato il downloader DripDropper.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
DripDropper è un file ELF creato tramite PyInstaller, protetto da password e che comunica con l’ account Dropbox degli aggressori tramite un token. Lo strumento crea file dannosi aggiuntivi, li installa nel sistema tramite cron e apporta modifiche alle configurazioni SSH, aprendo nuove vie di accesso occulte agli operatori. L’utilizzo di servizi cloud legittimi come Dropbox o Telegram come canali C2 consente alle attività dannose di mascherarsi da normale traffico di rete.
L’ultimo passaggio dell’attacco è stato scaricare e installare le patch JAR ufficiali di ActiveMQ dal dominio Apache Maven. In questo modo, gli aggressori hanno chiuso la vulnerabilità attraverso la quale erano penetrati, riducendo al minimo il rischio di ripetute scansioni di compromissione e di interferenze da parte di altri hacker.
Gli esperti sottolineano che lo sfruttamento di CVE-2023-46604 continua nonostante la sua età e viene utilizzato non solo per DripDropper, ma anche per la distribuzione di TellYouThePass , del malware HelloKitty o del miner Kinsing .
Per ridurre i rischi, gli esperti raccomandano alle organizzazioni di rafforzare la protezione degli ambienti Linux , soprattutto nel cloud: utilizzare la gestione automatizzata della configurazione tramite Ansible o Puppet, impedire gli accessi root, eseguire servizi da utenti senza privilegi, implementare tempestivamente le patch e controllare le regole di accesso alla rete. Anche il monitoraggio dei log dell’ambiente cloud svolge un ruolo importante, consentendo di rilevare tempestivamente attività sospette.
Il caso dimostra chiaramente che anche una vulnerabilità “corretta” non garantisce la sicurezza se la correzione è stata fornita dagli aggressori stessi. Documentare gli aggiornamenti e fornire una risposta tempestiva da parte degli amministratori rimangono fattori chiave per la protezione dei sistemi critici.
RedazioneIl Consiglio Supremo di Difesa, si è riunito recentemente al Quirinale sotto la guida del Presidente Sergio Mattarella, ha posto al centro della discussione l’evoluzione delle minacce ibride e digi...
Esattamente 40 anni fa, il 20 novembre 1985, Microsoft rilasciò Windows 1.0, la prima versione di Windows, che tentò di trasformare l’allora personal computer da una macchina con una monotona riga...
Oggi ricorre la Giornata Mondiale dell’Infanzia, fissata dall’ONU il 20 novembre per ricordare due atti fondamentali: la Dichiarazione dei Diritti del Fanciullo del 1959 e, trent’anni dopo, la C...
Con nuove funzionalità per anticipare le minacce e accelerare il ripristino grazie a sicurezza di nuova generazione, approfondimenti forensi e automazione intelligente, Veeam lancia anche la Universa...
Milioni di utenti sono esposti al rischio di infezioni da malware e compromissione del sistema a causa dello sfruttamento attivo da parte degli hacker di una vulnerabilità critica di esecuzione di co...
