🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Nhóm tin tặc HelloKitty đang khai thác lỗ hổng Apache ActiveMQ để tấn công ransomware

03/11/2023

Các nhà nghiên cứu bảo mật đang cảnh báo về hoạt động khai thác được cho là có liên quan đến lỗ hổng bảo mật nghiêm trọng được tiết lộ gần đây trong dịch vụ môi giới tin nhắn nguồn mở Apache ActiveMQ có thể dẫn đến việc thực thi mã từ xa.

Trong một báo cáo gần đây, công ty bảo mật Rapid7 cho biết: “Trong cả hai trường hợp, kẻ tấn công đã cố gắng triển khai các tệp nhị phân ransomware trên các hệ thống mục tiêu nhằm đòi tiền chuộc các tổ chức nạn nhân”.

“Dựa trên thông báo đòi tiền chuộc và bằng chứng sẵn có, chúng tôi cho rằng hoạt động này có liên quan đến nhóm ransomware HelloKitty, mã nguồn của chúng đã bị rò rỉ trên một diễn đàn vào đầu tháng 10.”

Các cuộc xâm nhập được cho là liên quan đến việc khai thác CVE-2023-46604, một lỗ hổng thực thi mã từ xa trong Apache ActiveMQ, cho phép kẻ đe dọa thực thi các lệnh (shell command) tùy ý.

Đáng chú ý, lỗ hổng này có điểm CVSS là 10,0, cho thấy mức độ nghiêm trọng tối đa, ảnh hưởng đến các phiên bản:

- Apache ActiveMQ 5.18.0 trước 5.18.3

- Apache ActiveMQ 5.17.0 trước 5.17.6

- Apache ActiveMQ 5.16.0 trước 5.16.7

- Apache ActiveMQ trước 5.15.16

- Apache ActiveMQ Legacy OpenWire Module 5.18.0 trước 5.18.3

- Apache ActiveMQ Legacy OpenWire Module 5.17.0 trước 5.17.6

- Apache ActiveMQ Legacy OpenWire Module 5.16.0 trước 5.16.7

- Apache ActiveMQ Legacy OpenWire Module 5.8.0 trước 5.15.16

Lỗ hổng đã được giải quyết trong các phiên bản ActiveMQ 5.15.16, 5.16.7, 5.17.6 hoặc 5.18.3 được phát hành vào cuối tháng trước.

Kể từ khi được tiết lộ, mã khai thác (PoC) và các chi tiết kỹ thuật liên quan đến lỗ hổng đã được công khai. Rapid7 lưu ý rằng hành vi mà họ quan sát thấy trong hai mạng nạn nhân “tương tự như những gì chúng tôi dự đoán từ việc khai thác lỗ hổng CVE-2023-46604."

Sau khi khai thác thành công, kẻ tấn công đã cố gắng tải các tệp nhị phân có tên M2.png và M4.png bằng chương trình cài đặt Windows (msiexec).

Cả hai tệp MSI đều chứa một tệp thực thi .NET 32 bit có tên dllloader, dùng để tải một payload được mã hóa Base64 có tên là EncDLL, có chức năng tương tự như ransomware, tìm kiếm và chấm dứt một số tiến trình cụ thể trước khi bắt đầu quá trình mã hóa và thay thổi phần mở rộng của các tệp thành ".locked".

Shadowserver Foundation cho biết họ đã phát hiện 3.326 máy chủ ActiveMQ có thể truy cập internet dễ bị tấn công CVE-2023-46604 kể từ ngày 1 tháng 11 năm 2023. Phần lớn các máy chủ này nằm ở Trung Quốc, Mỹ, Đức, Hàn Quốc và Ấn Độ.

Do lỗ hổng đang bị khai thác tích cực, người dùng nên cập nhật lên phiên bản đã được vá của ActiveMQ càng sớm càng tốt và rà quét toàn bộ mạng của mình để tìm kiếm các dấu hiệu xâm phạm.

Nguồn: thehackernews.com.

scrolltop