Godzilla использует неизвестный формат для обхода средств безопасности.
Компания Trustwave предупреждает о заметном росте активности активного использования исправленной уязвимости в Apache ActiveMQ для доставки веб-оболочки Godzilla на скомпрометированные хосты.
Веб-оболочки скрыты в неизвестном двоичном формате и предназначены для обхода систем безопасности и сканеров на основе сигнатур. Примечательно, что, несмотря на неизвестный формат двоичного файла, механизм JSP ActiveMQ продолжает компилировать и выполнять веб-оболочку.
Недостаток CVE-2023-46604 (оценка CVSS: 9.8) в Apache ActiveMQ делает возможным удаленное выполнение кода (Remote Code Execution, RCE). С момента публичного раскрытия в конце октября 2023 года ошибка стала объектом активной эксплуатации множества злоумышленников для развертывания программ-вымогателей, руткитов, майнеров криптовалюты и DDoS-ботнетов.
В последнем наборе вторжений, обнаруженном Trustwave, уязвимые экземпляры были атакованы веб-оболочками на основе JSP (Java Server Pages), которые размещались в папке «admin» установочного каталога ActiveMQ. Веб-оболочка под названием Godzilla представляет собой многофункциональный бэкдор, способный анализировать входящие HTTP-запросы POST, выполнять контент и возвращать результаты в виде HTTP-ответа.
Вредоносные файлы особенно примечательны тем, что код JSP скрыт внутри двоичного файла неизвестного типа. Такой метод помогает обойти средства безопасности, избегая обнаружения во время сканирования. Более тщательное изучение цепочки атак показывает, что код веб-оболочки преобразуется в код Java перед его выполнением механизмом сервлетов (программные компоненты, расширяющие функциональность веб-сервера) Jetty.
Полезная нагрузка JSP в конечном итоге позволяет киберпреступнику подключиться к веб-оболочке через пользовательский интерфейс управления Godzilla и получить полный контроль над целевым хостом, облегчая выполнение произвольных команд оболочки, просмотр сетевой информации и выполнение операций по управлению файлами. Пользователям Apache ActiveMQ настоятельно рекомендуется как можно скорее обновиться до последней версии, чтобы минимизировать потенциальные угрозы.
Одно найти легче, чем другое. Спойлер: это не темная материя