Эксперты Red Canary зафиксировали необычный инцидент при атаке на облачные Linux-системы.
Злоумышленник, проникший в инфраструктуру через уязвимость в Apache ActiveMQ (CVE-2023-46604), сам же закрыл эту дыру, установив исправление.
По мнению специалистов, цель была проста — не дать конкурентам использовать тот же канал для доступа.
Уязвимость в ActiveMQ, обнаруженная ещё в 2023 году, позволяет удалённо выполнять код из-за ошибок в обработке OpenWire-команд. Несмотря на наличие обновлений, дыра активно эксплуатируется до сих пор: чаще всего для установки майнеров или шифровальщиков. В исследованном случае хакер заменил уязвимые компоненты брокера сообщений на модифицированные JAR-файлы, что фактически эквивалентно установке официального патча.
Такая тактика решает сразу две задачи. Во-первых, она исключает доступ к системе других атакующих. Во-вторых, при поверхностной проверке может создаться впечатление, что сервер защищён и обновлён, хотя на деле в нём уже закрепился злоумышленник. Это серьёзно осложняет работу специалистов по кибербезопасности и автоматических сканеров.
Red Canary отмечает, что ситуация демонстрирует растущую конкуренцию в криминальной среде. Хакеры не просто проникают в системы, но и активно устраняют уязвимости после себя, превращая патч в инструмент удержания власти над захваченной инфраструктурой.
Злоумышленник, проникший в инфраструктуру через уязвимость в Apache ActiveMQ (CVE-2023-46604), сам же закрыл эту дыру, установив исправление.
По мнению специалистов, цель была проста — не дать конкурентам использовать тот же канал для доступа.
Уязвимость в ActiveMQ, обнаруженная ещё в 2023 году, позволяет удалённо выполнять код из-за ошибок в обработке OpenWire-команд. Несмотря на наличие обновлений, дыра активно эксплуатируется до сих пор: чаще всего для установки майнеров или шифровальщиков. В исследованном случае хакер заменил уязвимые компоненты брокера сообщений на модифицированные JAR-файлы, что фактически эквивалентно установке официального патча.
Такая тактика решает сразу две задачи. Во-первых, она исключает доступ к системе других атакующих. Во-вторых, при поверхностной проверке может создаться впечатление, что сервер защищён и обновлён, хотя на деле в нём уже закрепился злоумышленник. Это серьёзно осложняет работу специалистов по кибербезопасности и автоматических сканеров.
Red Canary отмечает, что ситуация демонстрирует растущую конкуренцию в криминальной среде. Хакеры не просто проникают в системы, но и активно устраняют уязвимости после себя, превращая патч в инструмент удержания власти над захваченной инфраструктурой.
