Главная страница » Индикаторы компрометации
0
5 часов
Индикаторы компрометации

Киберпреступники активно эксплуатируют уязвимость в ActiveMQ для установки вредоносного ПО

APT

Эксперты по кибербезопасности зафиксировали новую волну атак с использованием уязвимости CVE-2023-46604 в Apache ActiveMQ. Группа Kinsing, также известная как H2Miner, применяет этот метод для компрометации как Linux, так и Windows-систем, устанавливая майнеры криптовалют и сложные бэкдоры для удаленного управления.

Описание

Уязвимость CVE-2023-46604 в Apache ActiveMQ представляет собой критическую проблему безопасности, позволяющую выполнение произвольного кода. Apache ActiveMQ - это открытый сервер обмена сообщениями и реализации шаблонов интеграции. Если неустановленное обновление безопасности сервер Apache ActiveMQ доступен из интернета, злоумышленники могут удаленно выполнять вредоносные команды и получать полный контроль над системой.

Механизм эксплуатации уязвимости основан на манипуляции сериализованным типом класса, который инструктирует протокол OpenWire создавать экземпляры классов в classpath. Когда злоумышленник отправляет специально созданный пакет, уязвимый сервер использует URL-адрес в этом пакете для загрузки XML-файла конфигурации класса, что приводит к выполнению произвольного кода.

Группа Kinsing, впервые идентифицированная командой безопасности Alibaba Cloud в январе 2020 года, продолжает совершенствовать свои методы атак. Помимо эксплуатации уязвимостей в Docker, Redis и Log4j, киберпреступники теперь активно используют CVE-2023-46604. Особенностью последних атак стало использование многоступенчатой схемы загрузки вредоносного ПО.

В ходе атаки уязвимый Java-процесс Apache ActiveMQ загружает XML-файл конфигурации и выполняет указанные в нем команды. Эксперты обнаружили, что злоумышленники используют команду msiexec для установки MSI-вредоносного обеспечения из внешних источников. Дополнительно устанавливается вредоносная программа mm13.exe, оба файла являются загрузчиками следующей стадии атаки.

Хотя на момент анализа целевые URL-адреса для загрузки были недоступны, эксперты предполагают, что эти загрузчики typically предназначены для доставки в память таких инструментов, как CobaltStrike или Meterpreter от Metasploit. Такие компоненты известны как стейджеры (stager - загрузчик).

Особый интерес представляет обнаружение варианта атаки для Linux-систем, где используется относительно простой Bash-скрипт, добавляющий адрес кошелька злоумышленников в конфигурационный файл XMRig. Анализ показал использование двух кошельков с паролями linux и lin соответственно.

Новым элементом в арсенале Kinsing стал бэкдор Sharpire, разработанный на .NET и совместимый с фреймворком PowerShell Empire. Этот инструмент предоставляет злоумышленникам расширенные возможности по управлению зараженными системами, включая выполнение PowerShell-команд, управление файлами, мониторинг процессов и сетевых настроек, перезагрузку систем и сбор информации о пользователях.

Конфигурационные данные Sharpire свидетельствуют о поддержке широкого набора команд: от базовых операций с файлами и каталогами до управления процессами и сетевыми настройками. Это позволяет злоумышленникам не только майнить криптовалюту, но и осуществлять горизонтальное перемещение по сети, красть конфиденциальную информацию и устанавливать программы-вымогатели.

Эксперты отмечают, что Kinsing демонстрирует высокую адаптивность, используя различные типы вредоносного ПО в зависимости от целевой системы и поставленных задач. Помимо установки майнеров, группа активно применяет инструменты удаленного управления, что значительно расширяет потенциальный ущерб от их деятельности.

Рекомендации по защите включают незамедлительное применение обновления безопасности для Apache ActiveMQ, ограничение доступа к сервисам из интернета, регулярный мониторинг подозрительной активности и использование решений для обнаружения и предотвращения вторжений. Особое внимание следует уделять системам, где используются уязвимые версии ActiveMQ, поскольку масштаб эксплуатации CVE-2023-46604 продолжает расти, а методы атак постоянно совершенствуются.

Активность группы Kinsing подтверждает общую тенденцию, когда изначально ориентированные на майнинг криптовалют группы расширяют свой арсенал и начинают использовать более сложные инструменты для достижения множественных целей, включая кражу данных и установку программ-вымогателей. Это требует от организаций комплексного подхода к безопасности, сочетающего своевременное обновление программного обеспечения, мониторинг сетевой активности и подготовку персонала.

Индикаторы компрометации

Domains

  • gloryweb.vip

URLs

  • http://gloryweb.vip/lin/config.json
  • http://gloryweb.vip/lin/go.sh
  • http://gloryweb.vip/lin/javarunprocess
  • http://gloryweb.vip/mm46.msi
  • http://gloryweb.vip:2086/

MD5

  • 28fb07cf6dcd072c3d0b82c60ce30bef
  • 72a37a2fa588e013eafd695b8b5b0e61
  • a0c4c98a37562da3b94a9ac3f0dd56fb
  • b512bfd19bf46dd3e735c331d768ea42
  • bf17b21c8e9f34a209977e0f2dce92c4
Комментарии: 0
Похожие записи
0
13.06.2023
Индикаторы компрометации

SmokeLoader Malware IOCs - Part 10

security
SmokeLoader - это вредоносная программа Infostealer/downloader, которая распространяется через наборы эксплойтов. Как и другие вредоносные программы, распространяемые через наборы эксплойтов, эта вредоносная программа также имеет форму MalPe.
0
16.05.2025
Индикаторы компрометации

Кибератаки на финансовый сектор: утечки данных, Ransomware и DDoS-атаки в апреле 2025

security
Апрель 2025 года стал месяцем масштабных кибератак на финансовые учреждения по всему миру. От утечек данных кредитных карт до ransomware-атак на банки — эксперты фиксируют рост сложности и агрессивности киберугроз.
0
07.03.2023
Индикаторы компрометации

Lazarus APT IOCs - Part 5

security
С двух лет назад (март 2021 года) штаммы вредоносного ПО группы Lazarus были обнаружены в различных корейских компаниях, связанных с национальной обороной, спутниками, программным обеспечением, медиа-прессой и т.
0
15.01.2024
Индикаторы компрометации

Remcos RAT IOCs - Part 18

remote access Trojan
Проводя мониторинг источников распространения вредоносного ПО в Южной Корее, аналитический центр AhnLab Security (ASEC) недавно обнаружил, что вредоносная программа Remcos RAT, замаскированная под игры