HelloKitty Group đang khai thác lỗ hổng Apache ActiveMQ để tấn công Ransomeware

Các nhà nghiên cứu an ninh mạng đang cảnh báo về hoạt động khai thác được cho là có liên quan đến lỗ hổng bảo mật nghiêm trọng được tiết lộ gần đây trong dịch vụ môi giới tin nhắn nguồn mở Apache ActiveMQ có thể dẫn đến việc thực thi mã từ xa. Công ty bảo mật Rapid7 tiết lộ trong một báo cáo được công bố gần đây: “Trong cả hai trường hợp, kẻ thù đã cố gắng triển khai các tệp nhị phân ransomware trên các hệ thống mục tiêu trong nỗ lực đòi tiền chuộc các tổ chức nạn nhân. Dựa trên giấy đòi tiền chuộc và bằng chứng có sẵn, chúng tôi cho rằng hoạt động này do tổ chức ransomware HelloKitty gây ra, mã nguồn của chúng đã bị rò rỉ trên một diễn đàn vào đầu tháng 10.”

Các vụ xâm nhập được cho là liên quan đến việc khai thác CVE-2023-46604, một lỗ hổng thực thi mã từ xa trong Apache ActiveMQ cho phép tác nhân đe dọa chạy các lệnh shell tùy ý.

Đáng chú ý, lỗ hổng bảo mật có điểm CVSS là 10.0, cho thấy mức độ nghiêm trọng tối đa. Nó đã được giải quyết trong các phiên bản ActiveMQ 5.15.16, 5.16.7, 5.17.6 hoặc 5.18.3 được phát hành vào cuối tháng trước.

Lỗ hổng bảo mật ảnh hưởng đến các phiên bản sau –

Apache ActiveMQ 5.18.0 trước 5.18.3
Apache ActiveMQ 5.17.0 trước 5.17.6
Apache ActiveMQ 5.16.0 trước 5.16.7
Apache ActiveMQ trước 5.15.16
Apache ActiveMQ Legacy OpenWire Module 5.18.0 trước 5.18.3
Apache ActiveMQ Legacy OpenWire Module 5.17.0 trước 5.17.6
Apache ActiveMQ Legacy OpenWire Module 5.16.0 trước 5.16.7
Apache ActiveMQ Legacy OpenWire Module 5.8.0 trước 5.15.16

Kể từ khi tiết lộ lỗi, mã khai thác bằng chứng khái niệm (PoC) và các chi tiết kỹ thuật bổ sung đã được công khai, với Rapid7 lưu ý rằng hành vi mà họ quan sát thấy trong hai mạng nạn nhân “tương tự như những gì chúng tôi mong đợi từ việc khai thác CVE-2023-46604″. Khai thác thành công được theo sau bởi kẻ thù cố gắng tải các tệp nhị phân từ xa có tên M2.png và M4.png bằng cách sử dụng Windows Installer (msiexec).

Cả hai tệp MSI đều chứa tệp thực thi .NET 32 bit có tên dllloader, lần lượt tải tải trọng được mã hóa Base64 được gọi là EncDLL có chức năng giống như ransomware, tìm kiếm và chấm dứt một bộ quy trình cụ thể trước khi bắt đầu quá trình mã hóa và nối thêm các tệp được mã hóa với phần mở rộng “.locked”.

Shadowserver Foundation cho biết họ đã tìm thấy 3.326 phiên bản ActiveMQ có thể truy cập internet dễ bị CVE-2023-46604 tính đến ngày 1/11/2023. Phần lớn các máy chủ dễ bị tấn công được đặt tại Trung Quốc, Mỹ, Đức, Hàn Quốc và Ấn Độ.

Trước sự khai thác tích cực của lỗ hổng, người dùng nên cập nhật lên phiên bản cố định của ActiveMQ càng sớm càng tốt và quét mạng của họ để tìm các chỉ số thỏa hiệp.

Nguồn: The Hacker News

Tin tức báo chí liên quan

Tháng Tám 26, 2024 Tin tổng hợp

Phần mềm độc hại mới “sedexp” trên hệ điều hành Linux: Nguy cơ mất dữ liệu và truy cập từ xa

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một loại phần mềm độc hại Linux mới sử dụng một kỹ thuật độc đáo để tồn tại lâu dài trên các hệ thống bị nhiễm và ẩn mã đánh cắp thông tin thẻ tín dụng. Phần mềm độc hại này, được cho là…

Tháng Tám 20, 2024 Tin tổng hợp

CISA cảnh báo về lỗi Jenkins RCE bị khai thác trong các cuộc tấn công ransomware

CISA đã thêm lỗ hổng bảo mật nghiêm trọng của Jenkins có thể bị khai thác để thực thi mã từ xa vào danh mục lỗi bảo mật, đồng thời cảnh báo rằng lỗ hổng này đang được khai thác tích cực trong các cuộc tấn công. Jenkins là máy chủ tự động hóa mã…

Tháng Bảy 22, 2024 Tin tổng hợp

Doannh nghiệp cần làm gì để bảo vệ dữ liệu cá nhân người dùng? – Cyber Talk 18/7/2024

Sáng ngày 18/7/2024, Công ty Cổ phần An ninh mạng Việt Nam (VSEC) đã tổ chức sự kiện trực tuyến “Cyber Talk: Bảo vệ dữ liệu cá nhân – Quyền và trách nhiệm của doanh nghiệp“. Các chuyên gia đã tham gia giải đáp các thắc mắc trong việc thực thi các quy định về…