Ερευνητές στον τομέα της κυβερνοασφάλειας προειδοποιούν για ύποπτη εκμετάλλευση ενός κρίσιμου ελαττώματος ασφαλείας από το “Hello Kitty” Ransomware που αποκαλύφθηκε πρόσφατα στην υπηρεσία μηνυμάτων Apache ActiveMQ ανοιχτού κώδικα.
Και στις δύο περιπτώσεις, ο αντίπαλος επιχείρησε να αναπτύξει δυαδικά προγράμματα ransomware σε συστήματα-στόχους, ώστε να εξαναγκάσει τις οργανώσεις-θύματα να πληρώσουν λύτρα. Αυτή η αποκάλυψη προήλθε από την εταιρεία κυβερνοασφάλειας Rapid7 σε μια έκθεση που δημοσιεύθηκε την Τετάρτη.
Με βάση το σημείωμα των λύτρων και τα διαθέσιμα στοιχεία, αποδίδουμε τη δραστηριότητα στην οικογένεια ransomware HelloKitty. Ο πηγαίος κώδικας της διέρρευσε σε ένα φόρουμ στις αρχές του Οκτωβρίου.
Οι επιθέσεις αναφέρεται ότι εκμεταλλεύονται το CVE-2023-46604, μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα στο Apache ActiveMQ, η οποία επιτρέπει σε έναν κακόβουλο παράγοντα να εκτελεί αυθαίρετες εντολές στο φλοιό του συστήματος.
Αξίζει να σημειωθεί ότι η ευπάθεια φέρει βαθμολογία CVSS 10,0, υποδεικνύοντας τη μέγιστη σοβαρότητα. Έχει αντιμετωπιστεί στις εκδόσεις ActiveMQ 5.15.16, 5.16.7, 5.17.6 ή 5.18.3 που κυκλοφόρησαν στα τέλη του περασμένου μήνα.
Η ευπάθεια επηρεάζει τις ακόλουθες εκδόσεις –
Apache ActiveMQ 5.18.0 πριν το 5.18.3
Apache ActiveMQ 5.17.0 πριν το 5.17.6
Apache ActiveMQ 5.16.0 πριν το 5.16.7
Apache ActiveMQ πριν το 5.15.16
Apache ActiveMQ Legacy OpenWire Module 5.18.0 πριν από το 5.18.3
Apache ActiveMQ Legacy OpenWire Module 5.17.0 πριν από το 5.17.6
Apache ActiveMQ Legacy OpenWire Module 5.16.0 πριν από το 5.16.7
Apache ActiveMQ Legacy OpenWire Module 5.8.0 πριν από το 5.15.16
Μετά την αποκάλυψη των σφαλμάτων, έχει δημοσιοποιηθεί ένας κώδικας εκμετάλλευσης απόδειξης της ιδέας (PoC) και επιπλέον τεχνικές προδιαγραφές. Σύμφωνα με το Rapid7, η συμπεριφορά που παρατηρήθηκε στα δύο δίκτυα θυμάτων είναι παρόμοια με αυτήν που αναμένεται από την εκμετάλλευση του CVE-2023-46604.
Δείτε περισσότερα: Πάνω από 40 χώρες θα υπογράψουν για να σταματήσουν να πληρώνουν λύτρα σε ransomware συμμορίες
Μετά την επιτυχή εκμετάλλευση, ο αντίπαλος προσπαθεί να φορτώσει απομακρυσμένα δυαδικά αρχεία με τα ονόματα M2.png και M4.png, χρησιμοποιώντας το πρόγραμμα εγκατάστασης των Windows (msiexec).
Και τα δύο αρχεία MSI περιέχουν ένα εκτελέσιμο αρχείο .NET 32-bit με το όνομα dllloader. Αυτό το αρχείο, από την πλευρά του, φορτώνει ένα χρήσιμο φορτίο με κωδικοποίηση Base64 που ονομάζεται EncDLL. Το EncDLL λειτουργεί παρόμοια με το “Hello Kitty” Ransomware, ανιχνεύοντας και τερματίζοντας ένα συγκεκριμένο σύνολο διαδικασιών πριν αρχίσει η διαδικασία κρυπτογράφησης και προσαρτά τα αρχεία με την επέκταση “.locked”.
Η Shadowserver Foundation ανακοίνωσε ότι εντόπισε 3.326 παρουσίες του ActiveMQ που είναι προσβάσιμες στο Διαδίκτυο και εκτίθενται στο CVE-2023-46604 από την 1η Νοεμβρίου 2023. Οι περισσότεροι ευάλωτοι διακομιστές βρίσκονται στην Κίνα, τις Ηνωμένες Πολιτείες, τη Γερμανία, τη Νότια Κορέα και την Ινδία.
Λαμβάνοντας υπόψη την ενεργή εκμετάλλευση της ευπάθειας, συνιστούμε στους χρήστες να ενημερώσουν την τελευταία έκδοση του ActiveMQ όσο το δυνατόν συντομότερα και να σαρώσουν τα δίκτυά τους προς ένδειξη συμβιβασμού.
Πηγή: thehackernews.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/490684/hello-kitty-ransomware-ekmetalleuthke-eupatheia-tou-apache-activemq-anoixtou-kwdika/&media=https://www.secnews.gr/wp-content/uploads/2023/11/Apache-ActiveMQ-ανοιχτού-κώδικα-3.png&description=Ερευνητές στον τομέα της κυβερνοασφάλειας προειδοποιούν για ύποπτη εκμετάλλευση ενός κρίσιμου ελαττώματος ασφαλείας από το "Hello Kitty" Ransomware που αποκαλύφθηκε πρόσφατα στην υπηρεσία μηνυμάτων Apache ActiveMQ ανοιχτού κώδικα){kind=link}