Специалисты по кибербезопасности предупреждают или подозревают использование или недавно обнаруженный критический недостаток безопасности в службе брокера сообщений Apache ActiveMQ с открытым исходным кодом, который может привести к удаленному выполнению кода.
"В обоих случаях злоумышленник пытался внедрить двоичные файлы программы-вымогателя в целевые системы в попытке получить выкуп за организации-жертвы", - раскрыла фирма по кибербезопасности Rapid7 в отчете, опубликованном в среду.
"Основываясь на записках о выкупе и имеющихся доказательствах, мы приписываем эту активность семейству программ-вымогателей HelloKitty, исходный код которых просочился на форум в начале октября".
Утверждается, что вторжения связаны с эксплуатацией CVE-2023-46604, уязвимости удаленного выполнения кода в Apache ActiveMQ, которая позволяет субъекту угрозы запускать произвольные команды оболочки.
Специалисты по кибербезопасности предупреждают или подозревают использование или недавно обнаруженный критический недостаток безопасности в службе брокера сообщений Apache ActiveMQ с открытым исходным кодом, который может привести к удаленному выполнению кода.
"В обоих случаях злоумышленник пытался внедрить двоичные файлы программы-вымогателя в целевые системы в попытке получить выкуп за организации-жертвы", - раскрыла фирма по кибербезопасности Rapid7 в отчете, опубликованном в среду.
"Основываясь на записках о выкупе и имеющихся доказательствах, мы приписываем эту активность семейству программ-вымогателей HelloKitty, исходный код которых просочился на форум в начале октября".
Утверждается, что вторжения связаны с эксплуатацией CVE-2023-46604, уязвимости удаленного выполнения кода в Apache ActiveMQ, которая позволяет субъекту угрозы запускать произвольные команды оболочки.
Стоит отметить, что уязвимость имеет оценку CVSS или 10.0, что указывает на максимальную серьезность. Это было устранено в версиях ActiveMQ 5.15.16, 5.16.7, 5.17.6 или 5.18.3, выпущенных в конце прошлого месяца.
Уязвимость затрагивает следующие версии -
За успешной эксплуатацией следует попытка злоумышленника загрузить удаленные двоичные файлы с именами M2.png и M4.png с помощью установщика Windows (msiexec).
Оба MSI-файла содержат 32-разрядную версию .ЕДИНСТВЕННЫЙ исполняемый файл с именем dllloader, который, в свою очередь, загружает полезную нагрузку в кодировке base64 под названием EncDLL, которая функционирует аналогично программе-вымогателю, выполняя поиск и завершая определенный набор процессов перед началом процесса шифрования и добавляя зашифрованные файлы с расширением ".locked".
Источник изображения: Фонд Shadowserver
Фонд Shadowserver сообщил, что обнаружил 3326 доступных через Интернет экземпляров ActiveMQ, которые подвержены CVE-2023-46604 по состоянию на 1 ноября 2023 года. Большинство уязвимых серверов расположены в Китае, США, Германии, Южной Корее и Индии.
В свете активного использования уязвимости пользователям рекомендуется как можно скорее обновиться до исправленной версии ActiveMQ и просканировать свои сети на наличие индикаторов или компрометации.
"В обоих случаях злоумышленник пытался внедрить двоичные файлы программы-вымогателя в целевые системы в попытке получить выкуп за организации-жертвы", - раскрыла фирма по кибербезопасности Rapid7 в отчете, опубликованном в среду.
"Основываясь на записках о выкупе и имеющихся доказательствах, мы приписываем эту активность семейству программ-вымогателей HelloKitty, исходный код которых просочился на форум в начале октября".
Утверждается, что вторжения связаны с эксплуатацией CVE-2023-46604, уязвимости удаленного выполнения кода в Apache ActiveMQ, которая позволяет субъекту угрозы запускать произвольные команды оболочки.
Специалисты по кибербезопасности предупреждают или подозревают использование или недавно обнаруженный критический недостаток безопасности в службе брокера сообщений Apache ActiveMQ с открытым исходным кодом, который может привести к удаленному выполнению кода.
"В обоих случаях злоумышленник пытался внедрить двоичные файлы программы-вымогателя в целевые системы в попытке получить выкуп за организации-жертвы", - раскрыла фирма по кибербезопасности Rapid7 в отчете, опубликованном в среду.
"Основываясь на записках о выкупе и имеющихся доказательствах, мы приписываем эту активность семейству программ-вымогателей HelloKitty, исходный код которых просочился на форум в начале октября".
Утверждается, что вторжения связаны с эксплуатацией CVE-2023-46604, уязвимости удаленного выполнения кода в Apache ActiveMQ, которая позволяет субъекту угрозы запускать произвольные команды оболочки.
Стоит отметить, что уязвимость имеет оценку CVSS или 10.0, что указывает на максимальную серьезность. Это было устранено в версиях ActiveMQ 5.15.16, 5.16.7, 5.17.6 или 5.18.3, выпущенных в конце прошлого месяца.
Уязвимость затрагивает следующие версии -
- Apache ActiveMQ 5.18.0 до версии 5.18.3
- Apache ActiveMQ 5.17.0 до версии 5.17.6
- Apache ActiveMQ 5.16.0 до версии 5.16.7
- Apache ActiveMQ до версии 5.15.16
- Устаревший модуль OpenWire Apache ActiveMQ 5.18.0 до версии 5.18.3
- Устаревший модуль OpenWire Apache ActiveMQ 5.17.0 до версии 5.17.6
- Устаревший модуль OpenWire Apache ActiveMQ 5.16.0 до версии 5.16.7
- Устаревший модуль OpenWire Apache ActiveMQ версии 5.8.0 до версии 5.15.16
За успешной эксплуатацией следует попытка злоумышленника загрузить удаленные двоичные файлы с именами M2.png и M4.png с помощью установщика Windows (msiexec).
Оба MSI-файла содержат 32-разрядную версию .ЕДИНСТВЕННЫЙ исполняемый файл с именем dllloader, который, в свою очередь, загружает полезную нагрузку в кодировке base64 под названием EncDLL, которая функционирует аналогично программе-вымогателю, выполняя поиск и завершая определенный набор процессов перед началом процесса шифрования и добавляя зашифрованные файлы с расширением ".locked".
Источник изображения: Фонд Shadowserver
Фонд Shadowserver сообщил, что обнаружил 3326 доступных через Интернет экземпляров ActiveMQ, которые подвержены CVE-2023-46604 по состоянию на 1 ноября 2023 года. Большинство уязвимых серверов расположены в Китае, США, Германии, Южной Корее и Индии.
В свете активного использования уязвимости пользователям рекомендуется как можно скорее обновиться до исправленной версии ActiveMQ и просканировать свои сети на наличие индикаторов или компрометации.
