Про ИБ: канал собирает хаки, уязвимости, и бреши в информационной безопасности

Хакер устранил уязвимость после взлома, чтобы заблокировать других злоумышленников

Исследователи Red Canary сообщили о новой тактике, зафиксированной при атаках на облачные Linux-системы. Злоумышленник, получивший доступ через критическую уязвимость в Apache ActiveMQ (CVE-2023-46604), после её эксплуатации сам устранил уязвимость, установив исправление — вероятно, чтобы ограничить доступ к системе для других хакеров и сохранить контроль над скомпрометированной инфраструктурой.

Речь идёт о критической ошибке в Apache ActiveMQ — брокере сообщений с открытым исходным кодом. Уязвимость, обнаруженная в 2023 году, позволяет удалённое выполнение кода из-за недостаточной проверки типов классов в OpenWire-командах. Хотя обновления были выпущены почти два года назад, CVE-2023-46604 по-прежнему активно используется в атаках, особенно в целях развертывания вредоносного ПО: от криптомайнеров до программ-вымогателей.

В ходе одного из инцидентов, проанализированных Red Canary, атакующий после эксплуатации загрузил два новых JAR-файла, фактически заменив ими уязвимые компоненты ActiveMQ. Такие действия по сути эквивалентны установке легитимного патча.

Исследователи считают, что таким способом злоумышленник стремится устранить возможных конкурентов и одновременно усложнить работу защитных систем, в том числе автоматических сканеров уязвимостей, которые могли бы обнаружить незащищённый компонент.

Кроме того, устранение уязвимости позволяет сбить с толку специалистов по безопасности: при попытке внешнего анализа инфраструктуры создаётся впечатление, что система защищена и компрометации не было. Тем временем, злоумышленник уже успел установить устойчивые каналы доступа, использовав другие методы сохранения присутствия.

В Red Canary подчеркнули, что эта тактика показывает, насколько распространённой и конкурентной может быть среда киберугроз. Хакеры всё чаще применяют нетрадиционные подходы, адаптируясь к динамике борьбы за контроль над взломанными системами. Устранение уязвимости после её эксплуатации становится не только способом сокрытия следов, но и инструментом блокировки конкурирующих группировок.

🔗 Другие новости про хакеров, мошенников, утечки и ИБ можно прочитать здесь.

www.tgoop.com/cisohack/3088

2 viewsAug 20 at 21:48

Хакер устранил уязвимость после взлома, чтобы заблокировать других злоумышленников

Исследователи Red Canary сообщили о новой тактике, зафиксированной при атаках на облачные Linux-системы. Злоумышленник, получивший доступ через критическую уязвимость в Apache ActiveMQ (CVE-2023-46604), после её эксплуатации сам устранил уязвимость, установив исправление — вероятно, чтобы ограничить доступ к системе для других хакеров и сохранить контроль над скомпрометированной инфраструктурой.

Речь идёт о критической ошибке в Apache ActiveMQ — брокере сообщений с открытым исходным кодом. Уязвимость, обнаруженная в 2023 году, позволяет удалённое выполнение кода из-за недостаточной проверки типов классов в OpenWire-командах. Хотя обновления были выпущены почти два года назад, CVE-2023-46604 по-прежнему активно используется в атаках, особенно в целях развертывания вредоносного ПО: от криптомайнеров до программ-вымогателей.

В ходе одного из инцидентов, проанализированных Red Canary, атакующий после эксплуатации загрузил два новых JAR-файла, фактически заменив ими уязвимые компоненты ActiveMQ. Такие действия по сути эквивалентны установке легитимного патча.

Исследователи считают, что таким способом злоумышленник стремится устранить возможных конкурентов и одновременно усложнить работу защитных систем, в том числе автоматических сканеров уязвимостей, которые могли бы обнаружить незащищённый компонент.

Кроме того, устранение уязвимости позволяет сбить с толку специалистов по безопасности: при попытке внешнего анализа инфраструктуры создаётся впечатление, что система защищена и компрометации не было. Тем временем, злоумышленник уже успел установить устойчивые каналы доступа, использовав другие методы сохранения присутствия.

В Red Canary подчеркнули, что эта тактика показывает, насколько распространённой и конкурентной может быть среда киберугроз. Хакеры всё чаще применяют нетрадиционные подходы, адаптируясь к динамике борьбы за контроль над взломанными системами. Устранение уязвимости после её эксплуатации становится не только способом сокрытия следов, но и инструментом блокировки конкурирующих группировок.

🔗 Другие новости про хакеров, мошенников, утечки и ИБ можно прочитать здесь.

BY Про ИБ: канал собирает хаки, уязвимости, и бреши в информационной безопасности