Uma falha de segurança crítica recentemente revelada no Apache ActiveMQ está sendo ativamente explorada por atores de ameaças para distribuir uma nova botnet baseada em Go, chamada GoTitan, e um programa .NET conhecido como PrCtrl Rat, capaz de comandar remotamente os hosts infectados.

Os ataques envolvem a exploração de um bug de execução remota de código (CVE-2023-46604, pontuação CVSS: 10.0) que foi “armado” por várias equipes de hackers, incluindo o Grupo Lazarus, nas últimas semanas.

Após uma violação bem-sucedida, observou-se que os atores de ameaças baixam cargas úteis de um servidor remoto, uma das quais é a GoTitan, uma botnet projetada para orquestrar ataques de negação de serviço distribuído (DDoS) por meio de protocolos como HTTP, UDP, TCP e TLS.

“Apenas binários para arquiteturas x64 são fornecidos pelo atacante, e o malware realiza algumas verificações antes de ser executado”, disse Cara Lin, pesquisadora da Fortinet. “Ele também cria um arquivo chamado ‘c.log’ que registra o tempo de execução e o status do programa.

Este arquivo parece ser um log de depuração para o desenvolvedor, o que sugere que a GoTitan ainda está em um estágio inicial de desenvolvimento. ” A Fortinet também observou casos em que os servidores Apache ActiveMQ suscetíveis estão sendo alvo para implantar outra botnet DDoS chamada Ddostf, malware Kinsing para cryptojacking e um framework de comando e controle (C2) chamado Sliver.