Программа-вымогатель HelloKitty эксплуатирует недавно раскрытый недостаток Apache ActiveMQ для удаленного выполнения кода (RCE) с целью проникновения в сети и шифрования устройств.
Дефект, получивший номер CVE-2023-46604, относится к критическому уровню (CVSS v3 score: 10.0) и позволяет злоумышленникам выполнять произвольные команды оболочки, используя сериализованные типы классов в протоколе OpenWire.
Проблема безопасности была устранена в обновлении безопасности от 25 октября 2023 года. Однако, по данным службы мониторинга угроз ShadowServer, по состоянию на 30 октября в Интернете оставалось 3329 серверов, использующих версию, уязвимую для эксплуатации.
Вчера компания Rapid7 сообщила о том, что ей известны как минимум два случая использования уязвимости CVE-2023-46604 в клиентских средах для развертывания двоичных файлов вымогательского ПО HelloKitty и вымогательства у целевых организаций.
HelloKitty - это программа-вымогатель, появившаяся в ноябре 2020 года, исходный код которой недавно был утечен на русскоязычных киберпреступных форумах и стал доступен всем желающим.
Атаки, наблюдаемые Rapid7, начались 27 октября, через два дня после того, как Apache выпустил бюллетень безопасности и исправления, так что, судя по всему, речь идет об эксплуатации в режиме n-day.
Компания Rapid7 проанализировала два MSI-файла, замаскированных под PNG-изображения, полученные с подозрительного домена, и обнаружила, что они содержат исполняемый файл .NET, который загружает закодированную в base64 библиотеку .NET DLL под названием EncDLL.
EncDLL отвечает за поиск и остановку определенных процессов, шифрование файлов с помощью функции RSACryptoServiceProvider и добавление к ним расширения ".locked".
К числу артефактов, оставляемых этими атаками, относятся:
- Запуск Java.exe с приложением Apache в качестве родительского процесса, что является нетипичным.
- Загрузка удаленных двоичных файлов с именами M2.png и M4.png через MSIExec, что свидетельствует о наличии вредоносной активности.
- Неоднократные неудачные попытки зашифровать файлы, свидетельствующие о неуклюжих попытках эксплуатации.
- Записи в журнале activemq.log, содержащие предупреждения об отказе транспортных соединений из-за прерванного соединения, что может свидетельствовать об эксплуатации.
- Наличие файлов или сетевых соединений, связанных с HelloKitty ransomware, идентифицируемых по определенным доменам и хэшам файлов.
Отчет Rapid7 содержит информацию о последних индикаторах компрометации HelloKitty, но более полные данные по этому вопросу можно найти в отчете ФБР, посвященном этому семейству программ-вымогателей.
Последние данные ShadowServer показывают, что в мире все еще существуют тысячи уязвимых экземпляров ActiveMQ, поэтому администраторам рекомендуется как можно скорее применить доступные обновления безопасности.
Уязвимые версии находятся в диапазоне от 5.15 до 5.18, включая версии Legacy OpenWire Module, исправлены в версиях 5.15.16, 5.16.7, 5.17.6 и 5.18.3.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
