Le groupe HelloKitty Ransomware explique comment exploiter la vulnérabilité d’Apache ActiveMQ

« Dans les deux cas, l’adversaire a tenté de déployer des binaires de ransomware sur les systèmes cibles afin de demander une rançon aux organisations victimes », a révélé la société de cybersécurité Rapid7 dans un rapport publié mercredi.

« Sur la base de la note de rançon et des preuves disponibles, nous attribuons l’activité à la famille de ransomware HelloKitty, dont le code source a été divulgué sur un forum au début du mois d’octobre. »

Les intrusions impliqueraient l’exploitation de CVE-2023-46604, une vulnérabilité d’exécution de code à distance dans Apache ActiveMQ qui permet à un acteur de la menace d’exécuter des commandes shell arbitraires. Il convient de noter que la vulnérabilité a un score CVSS de 10.0, ce qui indique une gravité maximale. Elle a été corrigée dans les versions 5.15.16, 5.16.7, 5.17.6 ou 5.18.3 d’ActiveMQ publiées à la fin du mois dernier. La vulnérabilité affecte les versions suivantes – Depuis la divulgation du bogue, un code d’exploitation de preuve de concept (PoC) et des détails techniques supplémentaires ont été rendus publics, Rapid7 notant que le comportement qu’il a observé dans les deux réseaux victimes est « similaire à ce que nous attendons de l’exploitation de CVE-2023-46604 ». Après une exploitation réussie, l’adversaire tente de charger des binaires distants nommés M2.png et M4.png à l’aide de l’installateur Windows (msiexec). Les deux fichiers MSI contiennent un exécutable .NET 32 bits nommé dllloader qui charge une charge utile codée en Base64 appelée EncDLL qui fonctionne comme un ransomware en recherchant et en terminant des processus spécifiques avant de commencer le chiffrement et d’ajouter l’extension « .locked » aux fichiers chiffrés… ». La Shadowserver Foundation a déclaré avoir trouvé 3 326 instances ActiveMQ accessibles par l’internet et susceptibles d’être infectées par le CVE-2023 46604 au 1er novembre 2023, la majorité d’entre elles étant situées en Chine, aux États-Unis, en Allemagne, en Corée du Sud et en Inde. Compte tenu de l’exploitation active, il est recommandé aux utilisateurs de mettre à jour la version corrigée d’ActiveMQ et de scanner leurs réseaux à la recherche d’indicateurs de compromission La société de cybersécurité Huntress a également confirmé les infections par le ransomware HelloKitty en déclarant « Rejoignez-nous pour notre webinaire afin d’apprendre comment relever les défis, lancer un programme et choisir la bonne solution Participez à une conversation avec des gourous de la sécurité et découvrez les technologies qui peuvent protéger vos applications web des attaques furtives Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’informations et de conseils sur la cybersécurité.