Mauri Ransomware IOCs

ransomware IOC

Исследователи из AhnLab Security Intelligence Response Center (ASEC) обнаружили, что уязвимость CVE-2023-46604 в серверах Apache ActiveMQ эксплуатируется на корейских системах. Уязвимость позволяет удаленно выполнить код, манипулируя сериализованными типами классов в протоколе OpenWire.

Mauri Ransomware

Уязвимость начала активно эксплуатироваться вскоре после ее раскрытия, инциденты связаны с группой Andariel и вымогательским ПО HelloKitty. Атака на непропатченные системы продолжается, злоумышленники используют такие инструменты, как Ladon, Netcat, AnyDesk и z0Miner для компрометации сред.

Недавно ASEC обнаружила свидетельства того, что злоумышленники эксплуатируют CVE-2023-46604, используя Quasar RAT как часть цепочки атак для утечки информации и получения контроля над системами через удаленный рабочий стол. Хотя ни одна атака на Mauri ransomware не была подтверждена, ASEC отмечает, что Mauri ransomware была загружена на сервер загрузки.

Indicators of Compromise

MD5

  • 07894bc946bd742cec694562e730bac8
  • 25b1c94cf09076eb8ce590ee2f7f108e
  • 2e8a3baeaa0fc85ed787a3c7dfd462e7
  • 3b56e1881d8708c48150978da14da91e
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий