Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 20 Agosto 2025 10:40
Gli specialisti di Red Canary hanno scoperto un’insolita campagna che utilizza il nuovo malware DripDropper, prendendo di mira i server cloud Linux. Gli aggressori hanno ottenuto l’accesso tramite la vulnerabilità CVE-2023-46604 in Apache ActiveMQ dopodiché hanno preso piede nel sistema e hanno installato una patch per chiudere proprio quella falla dalla quale erano entrati.
Questa mossa paradossale ha permesso loro non solo di coprire le proprie tracce, ma anche di bloccare l’accesso ai concorrenti, lasciando il server infetto sotto il loro completo controllo.
Gli analisti hanno registrato l’esecuzione di comandi di ricognizione su decine di host vulnerabili. Su alcuni di essi, gli aggressori hanno implementato strumenti di controllo remoto, da Sliver ai tunnel di Cloudflare , fornendo comunicazioni segrete a lungo termine con i server C2 . In un episodio, hanno modificato le impostazioni sshd, incluso l’accesso root, e hanno avviato il downloader DripDropper.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
DripDropper è un file ELF creato tramite PyInstaller, protetto da password e che comunica con l’ account Dropbox degli aggressori tramite un token. Lo strumento crea file dannosi aggiuntivi, li installa nel sistema tramite cron e apporta modifiche alle configurazioni SSH, aprendo nuove vie di accesso occulte agli operatori. L’utilizzo di servizi cloud legittimi come Dropbox o Telegram come canali C2 consente alle attività dannose di mascherarsi da normale traffico di rete.
L’ultimo passaggio dell’attacco è stato scaricare e installare le patch JAR ufficiali di ActiveMQ dal dominio Apache Maven. In questo modo, gli aggressori hanno chiuso la vulnerabilità attraverso la quale erano penetrati, riducendo al minimo il rischio di ripetute scansioni di compromissione e di interferenze da parte di altri hacker.
Gli esperti sottolineano che lo sfruttamento di CVE-2023-46604 continua nonostante la sua età e viene utilizzato non solo per DripDropper, ma anche per la distribuzione di TellYouThePass , del malware HelloKitty o del miner Kinsing .
Per ridurre i rischi, gli esperti raccomandano alle organizzazioni di rafforzare la protezione degli ambienti Linux , soprattutto nel cloud: utilizzare la gestione automatizzata della configurazione tramite Ansible o Puppet, impedire gli accessi root, eseguire servizi da utenti senza privilegi, implementare tempestivamente le patch e controllare le regole di accesso alla rete. Anche il monitoraggio dei log dell’ambiente cloud svolge un ruolo importante, consentendo di rilevare tempestivamente attività sospette.
Il caso dimostra chiaramente che anche una vulnerabilità “corretta” non garantisce la sicurezza se la correzione è stata fornita dagli aggressori stessi. Documentare gli aggiornamenti e fornire una risposta tempestiva da parte degli amministratori rimangono fattori chiave per la protezione dei sistemi critici.
RedazioneSecondo un rapporto pubblicato di recente dal Financial Crimes Enforcement Network (FinCEN), l’attività globale del ransomware ha raggiunto il picco nel 2023, per poi crollare nel 2024. Questo calo...
Siamo connessi, connessi a tutto, iperconnessi. La nostra vita professionale e sociale è scandita da deadline strettissime e da un’asticella che viene continuamente alzata, dobbiamo spingere. Ci im...
Il Centro Congressi Frentani ospiterà il 12 dicembre la conferenza “Cybercrime, Artificial Intelligence & Digital Forensics”, l’evento annuale organizzato da IISFA – Associazione Italiana...
Un nuovo post pubblicato poche ore fa sul forum underground Exploit rivela l’ennesima offerta criminale legata alla vendita di accessi a siti compromessi. L’inserzionista, un utente storico del fo...
In Australia, a breve sarà introdotta una normativa innovativa che vieta l’accesso ai social media per i minori di 16 anni, un’iniziativa che farà scuola a livello mondiale. Un’analoga misura ...
