Уязвимость Apache ActiveMQ (CVE-2023-46604) продолжает эксплуатироваться различных атаках, в ходе которых были установлены Ladon, NetCat, AnyDesk и z0Miner.
CVE-2023-46604 - уязвимость удаленного выполнения кода в открытом сервере шаблонов обмена сообщениями и интеграции Apache ActiveMQ. Если непропатченный Apache ActiveMQ подвергается внешнему воздействию, угрожающий субъект может выполнить вредоносные команды из удаленного местоположения и захватить целевую систему.
Зломышленники постоянно проводят атаки на непропатченные и уязвимые сервисы Apache ActiveMQ. Среди выявленных атак были случаи установки CoinMiners для майнинга криптовалют, а также множество случаев, когда вредоносное ПО использовалось для контроля над зараженной системой. Скомпрометировав зараженную систему, злоумышленники могут похитить данные или установить программу-вымогатель.
Indicators of Compromise
IPv4 Port Combinations
- 27.191.193.193:50000
- 62.233.50.97:6666
URLs
- http://121.190.90.250:8081/js/3/config.json
- http://121.190.90.250:8081/js/3/paste.ps1
- http://121.190.90.250:8081/js/3/paste.xml
- http://121.190.90.250:8081/js/s.rar
- http://27.191.193.193:555/Ladon.ps1
- http://27.191.193.193:555/poc2.xml
- http://62.233.50.101:11197/ncat.exe
MD5
- 1a7e8e719e29c2cca5083053bb240dbc
- 2a0d26b8b02bb2d17994d2a9a38d61db
- b6e0db27c2b3e62db616b0918a5d8ed8
- baeee25ebf0efeec414dce64b9e7aca7
- c1aa596dc33f2ba4aadbd689a1652701
- da12148890bc665a8a27bf695955d8b0
- eb0e70ea44e578201df1e3c49e905144
