Các nhà nghiên cứu Trustwave phát hiện sự gia tăng các cuộc tấn công khai thác lỗ hổng đã được vá trong Apache ActiveMQ. Trong nhiều trường hợp, hacker phát tán mã độc web shell nguồn mở Godzilla.
Hacker che giấu web shell trong một định dạng nhị phân không xác định để trốn tránh các công cụ quét dựa trên chữ ký và bảo mật.
Trước đó, vào tháng 11/2023, các nhà nghiên cứu đã báo cáo việc hacker khai thác lỗ hổng nghiêm trọng CVE-2023-46604 trong Apache ActiveMQ. Đây là lỗ hổng thực thi mã từ xa, cho phép kẻ tấn công chạy các lệnh shell tùy ý.
Apache đã giải quyết lỗ hổng này bằng việc phát hành phiên bản mới của ActiveMQ vào ngày 25/10/2023. PoC và chi tiết về lỗ hổng đều đã được công khai.
Trong các cuộc tấn công mới đây, file độc hại được cài vào thư mục “quản trị viên” trong thư mục cài đặt ActiveMQ. Sau khi web shell được triển khai, hacker có thể kết nối với nó thông qua giao diện người dùng quản lý Godzilla và giành được quyền kiểm soát hoàn toàn đối với hệ thống mục tiêu.
Nguồn: Security Affairs