Cybersäkerhetsföretaget Fortinet har nyligen släppt en ny rapport som i detalj visar hur en kritisk säkerhetsbrist som påverkar Apache ActiveMQ utnyttjas flitigt av hotaktörer för att distribuera ett nytt Go-baserat botnät, kallat GoTitan tillsammans med ett .NET-program känt som PrCtrl Rat. Sistnämnda har möjlighet att fjärrstyra infekterade enheter.
I attackerna utnyttjas en specifik bugg som gör det möjligt att via Apache ActiveMQ ta sig vidare in i enheter och bland annat utföra DDoS-attacker.
Flera ökända hackergrupper kopplas till greppet, däribland Lazarus Group, som har kopplingar till Nordkorea.
Fortinet har också observerat fall där de mottagliga Apache ActiveMQ-servrarna är inriktade på att distribuera ett annat DDoS-botnät, kallat Ddostf, Kinsing malware för kryptojackning och ett C2-ramverk kallat Sliver. C2 är kort för command & control – en metod som medför att infekterade enheter kan kontrolleras från distans.
En annan anmärkningsvärd skadlig kod som levereras är en fjärråtkomsttrojan kallad PrCtrl Rat som upprättar kontakt med en C2-server för att ta emot ytterligare kommandon för att köra program på systemet, samt för att ladda ned och ladda upp filer från och till den infekterade servern.
Motivet bakom spridningen av det här verktyget är fortfarande oklart, men när den väl infiltrerar en användares miljö får fjärrservern kontroll över systemet.
Den skapar också en fil med namnet ‘c.log’ som registrerar körningstiden och programstatus. Den här filen verkar vara en felsökningslogg för utvecklaren, vilket tyder på att GoTitan fortfarande är i ett tidigt utvecklingsstadium.
Trots att en patch släpptes för över en månad sedan fortsätter hotaktörer att utnyttja denna sårbarhet för att distribuera skadlig programvara på mottagliga servrar.