Grupul HelloKitty Ransomware exploatează vulnerabilitatea Apache ActiveMQ

Specialiștii în domeniul securității cibernetice avertizează cu privire la o presupusă exploatare a unei vulnerabilități critice dezvăluită în serviciul open-source message broker Apache ActiveMQ, care ar putea duce la executarea de cod de la distanță.

Atacurile implică exploatarea CVE-2023-46604, o vulnerabilitate de executare a codului de la distanță în Apache ActiveMQ.

De remarcat este faptul că vulnerabilitatea prezintă un scor CvSS de 10/10, ceea ce indică un grad de severitate critic. Aceasta a fost remediată în versiunile ActiveMQ 5.15.16, 5.16.7, 5.17.6 sau 5.18.3 lansate la sfârșitul lunii trecute.

Vulnerabilitatea afectează următoarele versiuni:

• Apache ActiveMQ 5.18.0 înainte de versiunea 5.18.3;
• Apache ActiveMQ 5.17.0 înainte de versiunea 5.17.6;
• Apache ActiveMQ înainte de versiunea 5.15.16;
• Apache ActiveMQ Legacy OpenWire Module 5.18.0 înainte de versiunea 5.18.3;
• Apache ActiveMQ Legacy OpenWire Module 5.17.0 înainte de versiunea 5.17.6;
• Apache ActiveMQ Legacy OpenWire Module 5.16.0 înainte de versiunea 5.16.7;
• Apache ActiveMQ Legacy OpenWire Module 5.8.0 înainte de versiunea 5.15.16.

Exploatarea cu succes este urmată de tentativa atacatorului de a încărca binarele de la distanță denumite M2.png și M4.png utilizând Windows Installer (msiexec).

Ambele fișiere MSI conțin un executabil .NET pe 32 de biți numit dllloader care, la rândul său, încarcă un payload codificat în Base64 numit EncDLL si funcționează ca un ransomware, căutând și terminând un set specific de procese înainte de a începe procesul de criptare și de a atașa fișierele criptate cu extensia .locked.

Având în vedere exploatarea activă a vulnerabilității, utilizatorilor li se recomandă să actualizeze produsele la versiunea remediată a ActiveMQ cât mai curând posibil și să își scaneze rețelele pentru indicatorii de compromitere.

Sursă: https://thehackernews.com/2023/11/hellokitty-ransomware-group-exploiting.html