HelloKitty ransomware sfrutta una vulnerabilità di Apache ActiveMQ

da Redazione
0 commenti 2 minuti leggi

L’operazione ransomware HelloKitty sta sfruttando una recente vulnerabilità di esecuzione di codice remoto (RCE) di Apache ActiveMQ per violare le reti e cifrare i dispositivi.

Dettagli sulla vulnerabilità

La vulnerabilità, identificata come CVE-2023-46604, è di gravità critica (punteggio CVSS v3: 10.0) e permette agli aggressori di eseguire comandi shell arbitrari sfruttando i tipi di classe serializzati nel protocollo OpenWire. Questo problema di sicurezza è stato risolto con un aggiornamento di sicurezza il 25 ottobre 2023. Tuttavia, il servizio di monitoraggio delle minacce ShadowServer ha segnalato che, al 30 ottobre, esistevano ancora 3.329 server esposti su Internet che utilizzavano una versione vulnerabile.

Annunci

Attacchi e modalità di sfruttamento

Rapid7 ha segnalato di aver riscontrato almeno due casi distinti di attori minacciosi che sfruttavano CVE-2023-46604 negli ambienti dei clienti per distribuire binari ransomware HelloKitty ed estorcere le organizzazioni bersaglio. HelloKitty è un’operazione ransomware lanciata nel novembre 2020 e di recente ha visto trapelare il suo codice sorgente su forum di cybercriminali di lingua russa, rendendolo disponibile a chiunque. Gli attacchi osservati da Rapid7 sono iniziati il 27 ottobre, due giorni dopo il rilascio del bollettino di sicurezza e delle correzioni da parte di Apache, suggerendo un caso di sfruttamento n-day.

Analisi dei file e tracce dell’attacco

Rapid7 ha analizzato due file MSI mascherati come immagini PNG, prelevati da un dominio sospetto, e ha scoperto che contengono un eseguibile .NET che carica una DLL .NET codificata in base64 denominata EncDLL. EncDLL è responsabile della ricerca e dell’arresto di specifici processi, cifrando i file con la funzione RSACryptoServiceProvider e aggiungendo un’estensione “.locked” ad essi. Alcuni artefatti lasciati da questi attacchi includono tentativi ripetuti e non riusciti di cifrare file, segnalando sforzi di sfruttamento maldestri, e voci di registro in activemq.log che mostrano avvertenze sulle connessioni di trasporto che falliscono a causa di una connessione interrotta, suggerendo un possibile sfruttamento.

Raccomandazioni

Le ultime statistiche di ShadowServer mostrano che esistono ancora migliaia di istanze ActiveMQ vulnerabili, quindi si esorta gli amministratori a applicare gli aggiornamenti di sicurezza disponibili il prima possibile. Le versioni vulnerabili variano tra 5.15 e 5.18, incluse le versioni del modulo OpenWire Legacy, e sono corrette nelle versioni 5.15.16, 5.16.7, 5.17.6 e 5.18.3.

Si può anche come

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love by Giuseppe Ferrara