Uma nova campanha de ciberataques está tirando proveito de uma vulnerabilidade crítica no Apache ActiveMQ – mesmo após quase dois anos desde sua correção. O objetivo dos invasores é comprometer servidores Linux em ambientes de nuvem e implantar um malware batizado de DripDropper.
O ataque foi identificado pela empresa de segurança Red Canary, que revelou uma tática curiosa: depois de invadir os sistemas, os hackers aplicam o patch oficial da falha. Assim, impedem que outros grupos explorem a mesma brecha e dificultam a detecção da invasão.
📌 Como funciona o ataque
A vulnerabilidade usada (CVE-2023-46604) recebeu a pontuação máxima de 10.0 na escala de gravidade (CVSS), já que permite execução remota de código. Apesar de corrigida em outubro de 2023, continua sendo amplamente explorada em ataques. Grupos já usaram essa mesma falha para espalhar ransomwares, botnets e web shells.
Na campanha atual, os hackers:
- Alteram as configurações de SSH para garantir acesso root.
- Instalam o DripDropper, um malware que só roda com senha e se comunica via Dropbox, disfarçando seu tráfego na rede.
- Baixam arquivos adicionais para monitorar processos, manter persistência e reforçar o acesso ao sistema.
- Aplicam o patch oficial do Apache para “fechar” a falha — mas apenas depois de já terem estabelecido outros pontos de entrada.
🚨 Por que isso é preocupante?
Essa estratégia incomum mostra que os invasores não só exploram falhas, mas também buscam “blindar” os sistemas contra concorrentes, garantindo exclusividade no acesso. Situações semelhantes já foram relatadas por agências de cibersegurança na Europa.
🔐 Como se proteger
- Aplique patches de segurança rapidamente, sem atrasos.
- Restrinja o acesso a serviços internos, limitando a endereços IP confiáveis.
- Monitore logs e atividades em nuvem para detectar comportamentos suspeitos.
➡️ Essa campanha reforça um ponto essencial: corrigir falhas conhecidas continua sendo a linha de defesa mais importante contra ataques cada vez mais sofisticados.
