La falla de seguridad crítica recientemente revelada que afecta a Apache ActiveMQ está siendo explotada activamente por actores de amenazas para distribuir una nueva botnet basada en Go llamada GoTitan así como un programa .NET conocido como PrCtrl Rata que es capaz de controlar remotamente los hosts infectados.
Los ataques implican la explotación de un error de ejecución remota de código (CVE-2023-46604, puntuación CVSS: 10.0) que ha sido utilizado como arma por varios equipos de piratería, incluido el Grupo Lazarus, en las últimas semanas.
Después de una infracción exitosa, se ha observado que los actores de amenazas arrojan cargas útiles de la siguiente etapa desde un servidor remoto, uno de los cuales es GoTitan, una botnet diseñada para orquestar ataques distribuidos de denegación de servicio (DDoS) a través de protocolos como HTTP, UDP. , TCP y TLS.
«El atacante sólo proporciona archivos binarios para arquitecturas x64 y el malware realiza algunas comprobaciones antes de ejecutarse», afirma Cara Lin, investigadora de Fortinet Fortiguard Labs. dicho en un análisis del martes.
«También crea un archivo llamado ‘c.log’ que registra el tiempo de ejecución y el estado del programa. Este archivo parece ser un registro de depuración para el desarrollador, lo que sugiere que GoTitan aún se encuentra en una etapa temprana de desarrollo».
Fortinet dijo que también observó casos en los que los servidores Apache ActiveMQ susceptibles están siendo atacados para implementar otra botnet DDoS llamada Ddostf, malware Kinsing para cryptojacking y un marco de comando y control (C2) llamado Sliver.
Otro malware notable distribuido es un troyano de acceso remoto denominado PrCtrl Rat que establece contacto con un servidor C2 para recibir comandos adicionales para su ejecución en el sistema, recopilar archivos y descargar y cargar archivos desde y hacia el servidor.
«En el momento de escribir este artículo, todavía no hemos recibido ningún mensaje del servidor y el motivo detrás de la difusión de esta herramienta aún no está claro», dijo Lin. «Sin embargo, una vez que se infiltra en el entorno de un usuario, el servidor remoto obtiene control sobre el sistema».