DripDropper – มัลแวร์สายแสบที่ “เจาะแล้วเย็บ” เพื่อครองเซิร์ฟเวอร์
มัลแวร์ตัวใหม่ชื่อว่า DripDropper ถูกค้นพบโดยทีม Red Canary ซึ่งมีพฤติกรรมแปลกประหลาด: มันเจาะช่องโหว่ใน Apache ActiveMQ เพื่อเข้าถึงเซิร์ฟเวอร์ Linux จากนั้น...มัน “แพตช์” ช่องโหว่นั้นเอง เพื่อกันไม่ให้แฮกเกอร์คนอื่นเข้ามาได้อีก
ช่องโหว่ที่ใช้คือ CVE-2023-46604 ซึ่งเป็นช่องโหว่ระดับวิกฤตในโปรโตคอล OpenWire ของ ActiveMQ ที่เปิดให้รันคำสั่ง shell ได้โดยไม่ต้องยืนยันสิทธิ์ แม้จะถูกแพตช์มาตั้งแต่ปี 2023 แต่ยังมีหลายระบบที่ไม่ได้อัปเดต
หลังจากเจาะเข้าไปได้ DripDropper จะติดตั้ง Sliver implant เพื่อควบคุมระบบแบบลับ ๆ และเปลี่ยนค่า sshd ให้สามารถล็อกอินแบบ root ได้ จากนั้นจะดาวน์โหลดไฟล์มัลแวร์ที่ถูกเข้ารหัสไว้จาก Dropbox โดยใช้ bearer token แบบ hardcoded
DripDropper จะปล่อยไฟล์มัลแวร์สองตัว: ตัวแรกใช้ cron job เพื่อรันอย่างต่อเนื่องและติดต่อ Dropbox เพื่อรับคำสั่งใหม่ ส่วนตัวที่สองมีชื่อสุ่ม 8 ตัวอักษร และปรับแต่ง SSH เพื่อเปิดช่องทางลับผ่านบัญชี “games”
สุดท้าย มัลแวร์จะดาวน์โหลดไฟล์ JAR ที่ถูกแพตช์จาก Apache Maven เพื่อแทนที่ไฟล์เดิมที่มีช่องโหว่ ทำให้ระบบดูเหมือนปลอดภัยจาก vulnerability scanner แต่จริง ๆ แล้วถูกควบคุมโดยแฮกเกอร์ไปแล้ว
สรุปเนื้อหาเป็นหัวข้อ
DripDropper เป็นมัลแวร์ที่โจมตีระบบ Linux ผ่านช่องโหว่ CVE-2023-46604 ใน Apache ActiveMQ
ช่องโหว่นี้เปิดให้รันคำสั่ง shell โดยไม่ต้องยืนยันสิทธิ์
หลังเจาะเข้าไป มัลแวร์จะติดตั้ง Sliver implant เพื่อควบคุมระบบ
ปรับแต่ง sshd ให้ล็อกอินแบบ root ได้
ดาวน์โหลดมัลแวร์จาก Dropbox โดยใช้ bearer token แบบ hardcoded
DripDropper เป็นไฟล์ PyInstaller ELF ที่ต้องใช้รหัสผ่านในการรัน
ปล่อยไฟล์มัลแวร์สองตัว: ตัวหนึ่งใช้ cron job และอีกตัวปรับแต่ง SSH ผ่านบัญชี “games”
ดาวน์โหลดไฟล์ JAR ที่ถูกแพตช์จาก Apache Maven เพื่อปิดช่องโหว่
การแพตช์ช่องโหว่ช่วยปิดทางให้แฮกเกอร์คนอื่นเข้าไม่ได้ และหลบการตรวจจับ
ข้อมูลเสริมจากภายนอก
Sliver เป็นเครื่องมือ pentest ที่ถูกใช้โดยแฮกเกอร์เพื่อควบคุมระบบแบบลับ
การใช้ Dropbox เป็นช่องทางควบคุมมัลแวร์พบในมัลแวร์อื่น เช่น CHIMNEYSWEEP และ Mustang Panda
การแพตช์หลังการโจมตีเคยเกิดขึ้นในยุค 1990s ระหว่างกลุ่มไวรัสที่แข่งขันกัน
ช่องโหว่ CVE-2023-46604 ได้รับคะแนน CVSS 10 เต็ม ถือว่าอันตรายสูงสุด
การใช้ cron job ใน /etc/cron.* เป็นวิธีทั่วไปในการทำให้มัลแวร์รันต่อเนื่อง
การเปลี่ยน shell ของบัญชี “games” เป็น /bin/sh เปิดช่องให้รันคำสั่งลับ
https://hackread.com/dripdropper-malware-exploits-linux-flaw-patche-lock-out/
มัลแวร์ตัวใหม่ชื่อว่า DripDropper ถูกค้นพบโดยทีม Red Canary ซึ่งมีพฤติกรรมแปลกประหลาด: มันเจาะช่องโหว่ใน Apache ActiveMQ เพื่อเข้าถึงเซิร์ฟเวอร์ Linux จากนั้น...มัน “แพตช์” ช่องโหว่นั้นเอง เพื่อกันไม่ให้แฮกเกอร์คนอื่นเข้ามาได้อีก
ช่องโหว่ที่ใช้คือ CVE-2023-46604 ซึ่งเป็นช่องโหว่ระดับวิกฤตในโปรโตคอล OpenWire ของ ActiveMQ ที่เปิดให้รันคำสั่ง shell ได้โดยไม่ต้องยืนยันสิทธิ์ แม้จะถูกแพตช์มาตั้งแต่ปี 2023 แต่ยังมีหลายระบบที่ไม่ได้อัปเดต
หลังจากเจาะเข้าไปได้ DripDropper จะติดตั้ง Sliver implant เพื่อควบคุมระบบแบบลับ ๆ และเปลี่ยนค่า sshd ให้สามารถล็อกอินแบบ root ได้ จากนั้นจะดาวน์โหลดไฟล์มัลแวร์ที่ถูกเข้ารหัสไว้จาก Dropbox โดยใช้ bearer token แบบ hardcoded
DripDropper จะปล่อยไฟล์มัลแวร์สองตัว: ตัวแรกใช้ cron job เพื่อรันอย่างต่อเนื่องและติดต่อ Dropbox เพื่อรับคำสั่งใหม่ ส่วนตัวที่สองมีชื่อสุ่ม 8 ตัวอักษร และปรับแต่ง SSH เพื่อเปิดช่องทางลับผ่านบัญชี “games”
สุดท้าย มัลแวร์จะดาวน์โหลดไฟล์ JAR ที่ถูกแพตช์จาก Apache Maven เพื่อแทนที่ไฟล์เดิมที่มีช่องโหว่ ทำให้ระบบดูเหมือนปลอดภัยจาก vulnerability scanner แต่จริง ๆ แล้วถูกควบคุมโดยแฮกเกอร์ไปแล้ว
สรุปเนื้อหาเป็นหัวข้อ
DripDropper เป็นมัลแวร์ที่โจมตีระบบ Linux ผ่านช่องโหว่ CVE-2023-46604 ใน Apache ActiveMQ
ช่องโหว่นี้เปิดให้รันคำสั่ง shell โดยไม่ต้องยืนยันสิทธิ์
หลังเจาะเข้าไป มัลแวร์จะติดตั้ง Sliver implant เพื่อควบคุมระบบ
ปรับแต่ง sshd ให้ล็อกอินแบบ root ได้
ดาวน์โหลดมัลแวร์จาก Dropbox โดยใช้ bearer token แบบ hardcoded
DripDropper เป็นไฟล์ PyInstaller ELF ที่ต้องใช้รหัสผ่านในการรัน
ปล่อยไฟล์มัลแวร์สองตัว: ตัวหนึ่งใช้ cron job และอีกตัวปรับแต่ง SSH ผ่านบัญชี “games”
ดาวน์โหลดไฟล์ JAR ที่ถูกแพตช์จาก Apache Maven เพื่อปิดช่องโหว่
การแพตช์ช่องโหว่ช่วยปิดทางให้แฮกเกอร์คนอื่นเข้าไม่ได้ และหลบการตรวจจับ
ข้อมูลเสริมจากภายนอก
Sliver เป็นเครื่องมือ pentest ที่ถูกใช้โดยแฮกเกอร์เพื่อควบคุมระบบแบบลับ
การใช้ Dropbox เป็นช่องทางควบคุมมัลแวร์พบในมัลแวร์อื่น เช่น CHIMNEYSWEEP และ Mustang Panda
การแพตช์หลังการโจมตีเคยเกิดขึ้นในยุค 1990s ระหว่างกลุ่มไวรัสที่แข่งขันกัน
ช่องโหว่ CVE-2023-46604 ได้รับคะแนน CVSS 10 เต็ม ถือว่าอันตรายสูงสุด
การใช้ cron job ใน /etc/cron.* เป็นวิธีทั่วไปในการทำให้มัลแวร์รันต่อเนื่อง
การเปลี่ยน shell ของบัญชี “games” เป็น /bin/sh เปิดช่องให้รันคำสั่งลับ
https://hackread.com/dripdropper-malware-exploits-linux-flaw-patche-lock-out/
🧨 DripDropper – มัลแวร์สายแสบที่ “เจาะแล้วเย็บ” เพื่อครองเซิร์ฟเวอร์
มัลแวร์ตัวใหม่ชื่อว่า DripDropper ถูกค้นพบโดยทีม Red Canary ซึ่งมีพฤติกรรมแปลกประหลาด: มันเจาะช่องโหว่ใน Apache ActiveMQ เพื่อเข้าถึงเซิร์ฟเวอร์ Linux จากนั้น...มัน “แพตช์” ช่องโหว่นั้นเอง เพื่อกันไม่ให้แฮกเกอร์คนอื่นเข้ามาได้อีก
ช่องโหว่ที่ใช้คือ CVE-2023-46604 ซึ่งเป็นช่องโหว่ระดับวิกฤตในโปรโตคอล OpenWire ของ ActiveMQ ที่เปิดให้รันคำสั่ง shell ได้โดยไม่ต้องยืนยันสิทธิ์ แม้จะถูกแพตช์มาตั้งแต่ปี 2023 แต่ยังมีหลายระบบที่ไม่ได้อัปเดต
หลังจากเจาะเข้าไปได้ DripDropper จะติดตั้ง Sliver implant เพื่อควบคุมระบบแบบลับ ๆ และเปลี่ยนค่า sshd ให้สามารถล็อกอินแบบ root ได้ จากนั้นจะดาวน์โหลดไฟล์มัลแวร์ที่ถูกเข้ารหัสไว้จาก Dropbox โดยใช้ bearer token แบบ hardcoded
DripDropper จะปล่อยไฟล์มัลแวร์สองตัว: ตัวแรกใช้ cron job เพื่อรันอย่างต่อเนื่องและติดต่อ Dropbox เพื่อรับคำสั่งใหม่ ส่วนตัวที่สองมีชื่อสุ่ม 8 ตัวอักษร และปรับแต่ง SSH เพื่อเปิดช่องทางลับผ่านบัญชี “games”
สุดท้าย มัลแวร์จะดาวน์โหลดไฟล์ JAR ที่ถูกแพตช์จาก Apache Maven เพื่อแทนที่ไฟล์เดิมที่มีช่องโหว่ ทำให้ระบบดูเหมือนปลอดภัยจาก vulnerability scanner แต่จริง ๆ แล้วถูกควบคุมโดยแฮกเกอร์ไปแล้ว
📌 สรุปเนื้อหาเป็นหัวข้อ
➡️ DripDropper เป็นมัลแวร์ที่โจมตีระบบ Linux ผ่านช่องโหว่ CVE-2023-46604 ใน Apache ActiveMQ
➡️ ช่องโหว่นี้เปิดให้รันคำสั่ง shell โดยไม่ต้องยืนยันสิทธิ์
➡️ หลังเจาะเข้าไป มัลแวร์จะติดตั้ง Sliver implant เพื่อควบคุมระบบ
➡️ ปรับแต่ง sshd ให้ล็อกอินแบบ root ได้
➡️ ดาวน์โหลดมัลแวร์จาก Dropbox โดยใช้ bearer token แบบ hardcoded
➡️ DripDropper เป็นไฟล์ PyInstaller ELF ที่ต้องใช้รหัสผ่านในการรัน
➡️ ปล่อยไฟล์มัลแวร์สองตัว: ตัวหนึ่งใช้ cron job และอีกตัวปรับแต่ง SSH ผ่านบัญชี “games”
➡️ ดาวน์โหลดไฟล์ JAR ที่ถูกแพตช์จาก Apache Maven เพื่อปิดช่องโหว่
➡️ การแพตช์ช่องโหว่ช่วยปิดทางให้แฮกเกอร์คนอื่นเข้าไม่ได้ และหลบการตรวจจับ
✅ ข้อมูลเสริมจากภายนอก
➡️ Sliver เป็นเครื่องมือ pentest ที่ถูกใช้โดยแฮกเกอร์เพื่อควบคุมระบบแบบลับ
➡️ การใช้ Dropbox เป็นช่องทางควบคุมมัลแวร์พบในมัลแวร์อื่น เช่น CHIMNEYSWEEP และ Mustang Panda
➡️ การแพตช์หลังการโจมตีเคยเกิดขึ้นในยุค 1990s ระหว่างกลุ่มไวรัสที่แข่งขันกัน
➡️ ช่องโหว่ CVE-2023-46604 ได้รับคะแนน CVSS 10 เต็ม ถือว่าอันตรายสูงสุด
➡️ การใช้ cron job ใน /etc/cron.* เป็นวิธีทั่วไปในการทำให้มัลแวร์รันต่อเนื่อง
➡️ การเปลี่ยน shell ของบัญชี “games” เป็น /bin/sh เปิดช่องให้รันคำสั่งลับ
https://hackread.com/dripdropper-malware-exploits-linux-flaw-patche-lock-out/
0 ความคิดเห็น
0 การแบ่งปัน
31 มุมมอง
0 รีวิว
English