Подход изменился кардинально
Традиционно кибергруппировки действовали открыто, быстро распространялись по инфраструктуре жертвы и старались остаться незамеченными как можно дольше. Но теперь ситуация изменилась: исследователи зафиксировали случаи, когда злоумышленники начали активно самостоятельно устранять выявленные ими уязвимости.
Что произошло?
Эксперты из Red Canary обнаружили новый вид угроз — Linux-малварь DripDropper. Эта программа предназначена для атак на инфраструктуру компаний посредством давно известной, но всё ещё актуальной уязвимости в популярном open-source-продукте Apache ActiveMQ.
Атака по этапам:
1. Сначала атаковавшие использовали критический баг (CVE-2023-46604) для первоначального проникновения в корпоративную среду.
2. Далее хакеры устанавливали бэкдор, обеспечивая себе постоянные права администрирования на целевых серверах.
3. Самое интересное начинается дальше: установив полный контроль над системой, злоумышленники начинают закрывать саму уязвимость, через которую проникли изначально.
Почему именно так? Специалисты предполагают, что таким образом преступники пытаются ввести в заблуждение системы обнаружения вторжений и уменьшить вероятность выявления факта компрометации инфраструктуры. Ведь стандартная процедура проверки уязвимостей покажет, что система защищена и никаких проблем нет.
Чем опасна такая практика?
Это существенно осложняет работу служб информационной безопасности. Они теряют уверенность в объективности результатов проверок и вынуждены повторно проверять даже казалось бы надежно защищённые узлы сети.
Таким образом, события вокруг Apache ActiveMQ показывают: современные угрозы становятся сложнее, изощрённее и требуют принципиально иных подходов к защите корпоративных сетей. Теперь важна не только скорость реакции, но и глубокая аналитика каждого подозрительного инцидента, позволяющая выявить скрытые мотивы атакующих.
Наши партнёры: https://dzen.ru/away?to=https%3A%2F%2Fvk.com%2Fpm_sormovo