Компания Cybereason Security Services опубликовала отчет об анализе угроз, связанных с инцидентом на сервере Linux, в котором наблюдалось выполнение вредоносного командного интерпретатора из Java-процесса, запускающего Apache ActiveMQ.
Служба ActiveMQ - это брокер сообщений с открытым исходным кодом, используемый для организации связи между отдельными серверами, работающими на разных компонентах и/или написанных на разных языках. По предварительным оценкам, в ходе атаки использовалась уязвимость удаленного выполнения кода (Remote Code Execution, RCE) CVE-2023-46604.
Наблюдаемое выполнение оболочки включает попытки загрузки дополнительной полезной нагрузки, такой как исполняемые файлы ботнета Mirai, HelloKitty Ransomware, исполняемые файлы SparkRAT и майнеры, включая XMRig. Методики развертывания в основном используют автоматизацию, однако один из начальных плацдармов зависит от интерактивной сессии через обратные оболочки Netcat.
Indicators of Compromise
IPv4
- 153.92.1.49
- 156.96.155.233
- 162.142.125.216
- 165.22.16.135
- 167.248.133.52
- 172.245.16.125
- 178.32.197.83
- 184.105.247.254
- 194.165.16.111
- 199.45.155.17
- 27.102.128.152
- 27.102.67.64
- 34.100.208.153
- 38.54.88.83
- 45.32.120.181
- 65.49.1.38
- 68.69.186.14
- 82.115.220.81
- 87.236.176.108
- 87.236.176.25
- 91.192.223.44
URLs
- http://153.92.1.49:81/c.sh
- http://153.92.1.49:82/e.sh
- http://153.92.1.49:83/wk.sh
- http://156.96.155.233:8855/1.sh
- http://156.96.155.233:8855/2.sh
- http://172.245.16.125/.exec
- http://172.245.16.125/already
- http://172.245.16.125/curlfinish
- http://172.245.16.125/down
- http://172.245.16.125/wgetfinish
- http://27.102.128.152:5678/fav.ico
- http://27.102.128.152:8098/bit.ico
- http://27.102.67.64:5678/fav.ico
- http://45.32.120.181/linux.sh
- http://82.115.220.81/bins/x86
- http://91.192.223.44:9333/jQ?
- https://transfer.sh/EewPaMsAUA/xmrig
SHA256
- 01c6c81abf1206caf6c4004bae8c4999624228c8b1ce7514503e4150c10c21b5
- 6cb3d4d12357c63e654cf8c7062df0b07d22cf676307598bbf703de5258da519
- 7af5c37cc308a222f910d6a7b0759837f37e3270e22ce242a8b59ed4d7ec7ceb
- c0cc0fcbbef380108d7522a778c0beb5e0ecc876bb7dd12bcbcea40ded39f321
- cdc6e88a31e3a6f559b33b1249a5c4fa44f8c254b2437a5b6b06ff8c8c4d4c1d