Критическая уязвимость в более 3000 серверов открыла путь к масштабным кибератакам.
Специалисты в области кибербезопасности обнаружили подозрительную активность, которая может быть связана с использованием недавно обнаруженной критической уязвимости в сервисе обмена сообщениями Apache ActiveMQ. Ошибка в системе безопасности может привести к удаленному выполнению кода.
Как сообщает ИБ-компания Rapid7, злоумышленники пытались развернуть на целевых системах программу-вымогатель, чтобы затем потребовать выкуп за расшифровку данных организаций-жертв. Изучив заметку о выкупе и имеющиеся данные, эксперты приписали активность семейству вымогательского ПО HelloKitty, исходный код которого утек в сеть в начале октября.
Отмечается, что взломы осуществлялись с помощью уязвимости CVE-2023-46604 (CVSS 10.0), которая позволяет злоумышленнику выполнять произвольные команды на серверах Apache ActiveMQ. Проблема была решена в последних выпусках ActiveMQ версий 5.15.16, 5.16.7, 5.17.6, или 5.18.3, которые были выпущены в конце сентября.
Уязвимость затрагивает следующие версии:
После раскрытия информации об уязвимостях, PoC-код эксплойта и дополнительные технические детали были обнародованы в сети. По словам исследователей Rapid7, активность в пострадавших сетях «соответствует тому, что можно было бы ожидать от эксплуатации CVE-2023-46604».
Успешное использование уязвимости заканчивается попыткой злоумышленника загрузить на удаленную машину файлы с названиями M2.png и M4.png через установщик Windows (msiexec). Оба MSI файла содержат 32-битный исполняемый .NET-файл под названием dllloader, который, в свою очередь, загружает нагрузку под названием EncDLL, зашифрованную в Base64 и функционирующую как вымогательское ПО. Программа ищет и прекращает работу определенного набора процессов, после чего начинает процесс шифрования, добавляя к зашифрованным файлам расширение «.locked».
По данным Shadowserver Foundation, по состоянию на 1 ноября 2023 года обнаружено 3326 доступных через Интернет уязвимых экземпляров ActiveMQ, большинство из них расположены в Китае, США, Германии, Южной Корее и Индии. В связи с активной эксплуатацией уязвимости пользователям настоятельно рекомендуется обновиться до последней версии ActiveMQ как можно скорее и проверить свои сети на признаки компрометации.
Одно найти легче, чем другое. Спойлер: это не темная материя