HelloKitty Ransomware IOCs

ransomware IOC
Опубликовано

Начиная с пятницы, 27 октября, специалисты Rapid7 Managed Detection and Response (MDR) выявили подозрительную эксплуатацию Apache ActiveMQ CVE-2023-46604 в двух различных клиентских средах.

В обоих случаях злоумышленники пытались развернуть на целевых системах двоичные файлы ransomware с целью получения выкупа от организаций-жертв. Судя по записке с требованием выкупа и имеющимся доказательствам, мы относим эти действия к семейству программ-вымогателей HelloKitty, исходный код которых был опубликован на одном из форумов в начале октября. Компания Rapid7 обнаружила схожие признаки компрометации во всех затронутых клиентских средах, в обеих из которых использовались устаревшие версии Apache ActiveMQ.

CVE-2023-46604 - это уязвимость удаленного выполнения кода в Apache ActiveMQ, которая позволяет удаленному злоумышленнику, имеющему сетевой доступ к брокеру, "выполнять произвольные команды оболочки, манипулируя сериализованными типами классов в протоколе OpenWire, чтобы заставить брокер инстанцировать любой класс на пути класса". Это одно из самых запутанных описаний уязвимости, которые нам приходилось видеть, но основной причиной проблемы является небезопасная десериализация.

Компания Rapid7 получила MSI-файлы M4.png и M2.png с домена 172.245.16[.]125 и проанализировала их в контролируемой среде. В результате анализа Rapid7 обнаружила, что оба MSI-файла содержат 32-разрядный исполняемый файл .NET с внутренним именем dllloader. Внутри исполняемого файла .NET dllloader компания Rapid7 обнаружила, что он загружает полезную нагрузку в Base64-кодировке. Мы расшифровали полезную нагрузку в Base64-кодировке и определили, что она представляет собой 32-разрядную .NET DLL с именем EncDLL.

Двоичный файл EncDLL содержал функциональность, схожую с функциями программ-вымогателей: DLL ищет определенные процессы и останавливает их запуск. По наблюдениям Rapid7, DLL шифрует определенные расширения файлов с помощью функции RSACryptoServiceProvider, добавляя к зашифрованным файлам расширение .locked. Мы также обнаружили еще одну функцию, предоставляющую информацию о том, какие каталоги следует избегать шифровать, статическую переменную, назначенную в примечании к выкупу, и функцию, пытающуюся установить связь с HTTP-сервером 172.245.16[.]125.

В примечании к выкупу указывалось, что связь должна осуществляться через адрес электронной почты service@hellokittycat[.]online.

Indicators of Compromise

IPv4

  • 172.245.16.125

URLs

  • http://172.245.16.125/m2.png
  • http://172.245.16.125/m4.png

Emails

  • service@hellokittycat.online

SHA256

  • 3e65437f910f1f4e93809b81c19942ef74aa250ae228caca0b278fc523ad47c5
  • 8177455ab89cc96f0c26bc42907da1a4f0b21fdc96a0cc96650843fd616551f4
  • 8c226e1f640b570a4a542078a7db59bb1f1a55cf143782d93514e3bd86dc07a0
  • c3c0cf25d682e981c7ce1cc0a00fa2b8b46cce2fa49abe38bb412da21da99cb7
Похожие записи:
  1. LokiLocker Ransomware IOC
  2. Hive Ransomware IOC
  3. AvosLocker Ransomware IOC
  4. EvilNominatus Ransomware IOC
  5. Conti Ransomware IOC
CVE-2023-46604 HelloKitty Ransomware Rapid7
Добавить комментарий