HelloKitty вернулась: сервера Apache ActiveMQ под атакой шифровальщиков

Специалисты в области кибербезопасности обнаружили подозрительную активность, которая может быть связана с использованием недавно обнаруженной критической уязвимости в сервисе обмена сообщениями Apache ActiveMQ. Ошибка в системе безопасности может привести к удаленному выполнению кода.

Как сообщает ИБ-компания Rapid7, злоумышленники пытались развернуть на целевых системах программу-вымогатель, чтобы затем потребовать выкуп за расшифровку данных организаций-жертв. Изучив заметку о выкупе и имеющиеся данные, эксперты приписали активность семейству вымогательского ПО HelloKitty, исходный код которого утек в сеть в начале октября.

Отмечается, что взломы осуществлялись с помощью уязвимости CVE-2023-46604 (CVSS 10.0), которая позволяет злоумышленнику выполнять произвольные команды на серверах Apache ActiveMQ. Проблема была решена в последних выпусках ActiveMQ версий 5.15.16, 5.16.7, 5.17.6, или 5.18.3, которые были выпущены в конце сентября.

Уязвимость затрагивает следующие версии:

• Apache ActiveMQ 5.18.0 до 5.18.3;
• Apache ActiveMQ 5.17.0 до 5.17.6;
• Apache ActiveMQ 5.16.0 до 5.16.7;
• Apache ActiveMQ до версии 5.15.16;
• Apache ActiveMQ Legacy OpenWire Module с 5.18.0 до 5.18.3;
• Apache ActiveMQ Legacy OpenWire Module с 5.17.0 до 5.17.6;
• Apache ActiveMQ Legacy OpenWire Module с 5.16.0 до 5.16.7;
• Apache ActiveMQ Legacy OpenWire Module с 5.8.0 до 5.15.16.

После раскрытия информации об уязвимостях, PoC-код эксплойта и дополнительные технические детали были обнародованы в сети. По словам исследователей Rapid7, активность в пострадавших сетях «соответствует тому, что можно было бы ожидать от эксплуатации CVE-2023-46604».

Успешное использование уязвимости заканчивается попыткой злоумышленника загрузить на удаленную машину файлы с названиями M2.png и M4.png через установщик Windows (msiexec). Оба MSI файла содержат 32-битный исполняемый .NET-файл под названием dllloader, который, в свою очередь, загружает нагрузку под названием EncDLL, зашифрованную в Base64 и функционирующую как вымогательское ПО. Программа ищет и прекращает работу определенного набора процессов, после чего начинает процесс шифрования, добавляя к зашифрованным файлам расширение «.locked».

По данным Shadowserver Foundation, по состоянию на 1 ноября 2023 года обнаружено 3326 доступных через Интернет уязвимых экземпляров ActiveMQ, большинство из них расположены в Китае, США, Германии, Южной Корее и Индии. В связи с активной эксплуатацией уязвимости пользователям настоятельно рекомендуется обновиться до последней версии ActiveMQ как можно скорее и проверить свои сети на признаки компрометации.