Uma nova campanha de ciberataques está explorando uma vulnerabilidade crítica de quase dois anos no software de código aberto Apache ActiveMQ para invadir sistemas Linux em ambientes de nuvem. Os atacantes aproveitam a falha para executar remotamente comandos arbitrários, instalando o malware DripDropper, uma ferramenta sofisticada de download de arquivos que se comunica via Dropbox para evitar a detecção.
Em uma tática inédita, os invasores aplicam patches na própria falha explorada (CVE-2023-46604), dificultando que outros hackers usem o mesmo vetor de ataque, o que complica a identificação da ameaça por equipes de segurança.
Segundo o relatório da empresa de segurança Red Canary, os hackers utilizam ferramentas avançadas como Sliver e Cloudflare Tunnels para manter o acesso discreto e persistente nos sistemas comprometidos. Após obterem controle, modificam configurações do sshd para permitir login como root e implantam o DripDropper, que exige senha para execução, dificultando sua análise.
O malware baixa dois arquivos principais: o primeiro monitora processos e recebe instruções via Dropbox, mantendo persistência por meio da alteração de tarefas agendadas; o segundo atua como mecanismo de acesso de backup, alterando configurações SSH para garantir controle contínuo.
Apesar do patch aplicado pelos hackers na vulnerabilidade, o controle permanece estabelecido por meio de outros métodos implantados anteriormente. Essa abordagem já foi observada por agências internacionais, como a francesa ANSSI, reforçando a necessidade urgente de aplicação de correções, restrição rigorosa de acessos e monitoramento constante de ambientes em nuvem.
