Η λειτουργία ransomware HelloKitty εκμεταλλεύεται ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα του Apache ActiveMQ (RCE) που αποκαλύφθηκε πρόσφατα για να παραβιάσει δίκτυα και να
κρυπτο
γραφήσει
συσκευές
.
Το ελάττωμα, το οποίο παρακολουθείται CVE-2023-46604, είναι μια κρίσιμης σοβαρότητας (βαθμολογία CVSS v3: 10.0) RCE που επιτρέπει στους εισβολείς να εκτελούν αυθαίρετες εντολές φλοιού εκμεταλλευόμενοι τους τύπους σειριακών κλάσεων στο πρωτόκολλο OpenWire.
Το πρόβλημα ασφαλείας αντιμετωπίστηκε σε μια ενημέρωση ασφαλείας στις 25 Οκτωβρίου 2023. Ωστόσο, η υπηρεσία παρακολούθησης απειλών ShadowServer ανέφερε ότι στις 30 Οκτωβρίου εξακολουθούσαν να υπάρχουν 3.329 διακομιστές εκτεθειμένοι στο διαδίκτυο που χρησιμοποιούν μια έκδοση ευάλωτη σε εκμετάλλευση.
Χθες, η Rapid7 ανέφερε ότι είχε δει τουλάχιστον δύο διακριτές περιπτώσεις απειλών που εκμεταλλεύονταν το CVE-2023-46604 σε περιβάλλοντα πελατών για να αναπτύξουν δυαδικά αρχεία ransomware HelloKitty και να εκβιάσουν τους στοχευμένους οργανισμούς.
Το HelloKitty είναι μια επιχείρηση ransomware που ξεκίνησε τον Νοέμβριο του 2020 και πρόσφατα διέρρευσε ο πηγαίος κώδικας του σε ένα ρωσόφωνο φόρουμ για το έγκλημα στον
κυβερνοχώρο
, καθιστώντας το διαθέσιμο σε οποιονδήποτε.
Οι επιθέσεις που παρατηρήθηκαν από το Rapid7 ξεκίνησαν στις 27 Οκτωβρίου, δύο ημέρες αφότου ο Apache κυκλοφόρησε το ενημερωτικό δελτίο ασφαλείας και τις διορθώσεις, οπότε φαίνεται ότι πρόκειται για περίπτωση εκμετάλλευσης n-day.
Το Rapid7 ανέλυσε δύο αρχεία MSI μεταμφιεσμένα σε εικόνες PNG, που ελήφθησαν από έναν ύποπτο τομέα και διαπίστωσε ότι περιέχουν ένα εκτελέσιμο αρχείο .NET που φορτώνει ένα .NET DLL με κωδικοποίηση base64 που ονομάζεται EncDLL.
Το EncDLL είναι υπεύθυνο για την αναζήτηση και τη διακοπή συγκεκριμένων διαδικασιών, την κρυπτογράφηση αρχείων με τη συνάρτηση RSACryptoServiceProvider και την προσθήκη μιας επέκτασης “.locked” σε αυτά.
Μερικά αντικείμενα που άφησαν πίσω τους αυτές οι επιθέσεις περιλαμβάνουν:
-
Το Java.exe εκτελείται με μια
εφαρμογή
Apache ως γονική διαδικασία, η οποία είναι άτυπη. - Φόρτωση απομακρυσμένων δυαδικών αρχείων με όνομα M2.png και M4.png μέσω MSIEexec, ενδεικτικό κακόβουλης δραστηριότητας.
- Επαναλαμβανόμενες, αποτυχημένες προσπάθειες κρυπτογράφησης αρχείων, σηματοδοτώντας αδέξιες προσπάθειες εκμετάλλευσης.
- Εγγραφές καταγραφής στο activemq.log που εμφανίζουν προειδοποιήσεις σχετικά με τις συνδέσεις μεταφοράς που αποτυγχάνουν λόγω διακοπής σύνδεσης, γεγονός που μπορεί να υποδηλώνει εκμετάλλευση.
- Παρουσία αρχείων ή επικοινωνιών δικτύου που σχετίζονται με το HelloKitty ransomware, αναγνωρίσιμα από συγκεκριμένους τομείς και κατακερματισμούς αρχείων.
ο
Αναφορά Rapid7
περιέχει πληροφορίες σχετικά με τους πιο πρόσφατους δείκτες συμβιβασμού του HelloKitty, αλλά πιο ολοκληρωμένα δεδομένα σχετικά με αυτό το μέτωπο βρίσκονται στο
αυτή η έκθεση του FBI
επικεντρώθηκε στην οικογένεια ransomware.
Τα πιο πρόσφατα στατιστικά του ShadowServer
προβολή
ότι υπάρχουν ακόμα χιλιάδες ευάλωτες εμφανίσεις ActiveMQ εκεί έξω, επομένως οι διαχειριστές καλούνται να εφαρμόσουν τις διαθέσιμες ενημερώσεις ασφαλείας το συντομότερο δυνατό.
Οι ευάλωτες εκδόσεις κυμαίνονται μεταξύ 5.15 και 5.18, συμπεριλαμβανομένων των εκδόσεων Legacy OpenWire Module, διορθώνονται στις εκδόσεις 5.15.16, 5.16.7, 5.17.6 και 5.18.3.
VIA:
bleepingcomputer.com
