Redazione RHC : 20 Agosto 2025 10:40
Gli specialisti di Red Canary hanno scoperto un’insolita campagna che utilizza il nuovo malware DripDropper, prendendo di mira i server cloud Linux. Gli aggressori hanno ottenuto l’accesso tramite la vulnerabilità CVE-2023-46604 in Apache ActiveMQ dopodiché hanno preso piede nel sistema e hanno installato una patch per chiudere proprio quella falla dalla quale erano entrati.
Questa mossa paradossale ha permesso loro non solo di coprire le proprie tracce, ma anche di bloccare l’accesso ai concorrenti, lasciando il server infetto sotto il loro completo controllo.
Gli analisti hanno registrato l’esecuzione di comandi di ricognizione su decine di host vulnerabili. Su alcuni di essi, gli aggressori hanno implementato strumenti di controllo remoto, da Sliver ai tunnel di Cloudflare , fornendo comunicazioni segrete a lungo termine con i server C2 . In un episodio, hanno modificato le impostazioni sshd, incluso l’accesso root, e hanno avviato il downloader DripDropper.
Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
DripDropper è un file ELF creato tramite PyInstaller, protetto da password e che comunica con l’ account Dropbox degli aggressori tramite un token. Lo strumento crea file dannosi aggiuntivi, li installa nel sistema tramite cron e apporta modifiche alle configurazioni SSH, aprendo nuove vie di accesso occulte agli operatori. L’utilizzo di servizi cloud legittimi come Dropbox o Telegram come canali C2 consente alle attività dannose di mascherarsi da normale traffico di rete.
L’ultimo passaggio dell’attacco è stato scaricare e installare le patch JAR ufficiali di ActiveMQ dal dominio Apache Maven. In questo modo, gli aggressori hanno chiuso la vulnerabilità attraverso la quale erano penetrati, riducendo al minimo il rischio di ripetute scansioni di compromissione e di interferenze da parte di altri hacker.
Gli esperti sottolineano che lo sfruttamento di CVE-2023-46604 continua nonostante la sua età e viene utilizzato non solo per DripDropper, ma anche per la distribuzione di TellYouThePass , del malware HelloKitty o del miner Kinsing .
Per ridurre i rischi, gli esperti raccomandano alle organizzazioni di rafforzare la protezione degli ambienti Linux , soprattutto nel cloud: utilizzare la gestione automatizzata della configurazione tramite Ansible o Puppet, impedire gli accessi root, eseguire servizi da utenti senza privilegi, implementare tempestivamente le patch e controllare le regole di accesso alla rete. Anche il monitoraggio dei log dell’ambiente cloud svolge un ruolo importante, consentendo di rilevare tempestivamente attività sospette.
Il caso dimostra chiaramente che anche una vulnerabilità “corretta” non garantisce la sicurezza se la correzione è stata fornita dagli aggressori stessi. Documentare gli aggiornamenti e fornire una risposta tempestiva da parte degli amministratori rimangono fattori chiave per la protezione dei sistemi critici.
RedazioneAutore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...
La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...
Per decenni, l’informatica è stata considerata una scelta professionale stabile e ricca di opportunità. Oggi, però, studenti, università e imprese si trovano davanti a un panorama radicalmente m...
Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...
Una nuova campagna malevola sta utilizzando Facebook come veicolo per diffondere Datzbro, un malware Android che combina le caratteristiche di un trojan bancario con quelle di uno spyware. L’allarme...
