Эксплуатация уязвимости ActiveMQ

vulnerability vulnerability
Опубликовано

Компания Cybereason Security Services опубликовала отчет об анализе угроз, связанных с инцидентом на сервере Linux, в котором наблюдалось выполнение вредоносного командного интерпретатора из Java-процесса, запускающего Apache ActiveMQ.

Служба ActiveMQ - это брокер сообщений с открытым исходным кодом, используемый для организации связи между отдельными серверами, работающими на разных компонентах и/или написанных на разных языках. По предварительным оценкам, в ходе атаки использовалась уязвимость удаленного выполнения кода (Remote Code Execution, RCE) CVE-2023-46604.

Наблюдаемое выполнение оболочки включает попытки загрузки дополнительной полезной нагрузки, такой как исполняемые файлы ботнета Mirai, HelloKitty Ransomware, исполняемые файлы SparkRAT и майнеры, включая XMRig. Методики развертывания в основном используют автоматизацию, однако один из начальных плацдармов зависит от интерактивной сессии через обратные оболочки Netcat.

Indicators of Compromise

IPv4

  • 153.92.1.49
  • 156.96.155.233
  • 162.142.125.216
  • 165.22.16.135
  • 167.248.133.52
  • 172.245.16.125
  • 178.32.197.83
  • 184.105.247.254
  • 194.165.16.111
  • 199.45.155.17
  • 27.102.128.152
  • 27.102.67.64
  • 34.100.208.153
  • 38.54.88.83
  • 45.32.120.181
  • 65.49.1.38
  • 68.69.186.14
  • 82.115.220.81
  • 87.236.176.108
  • 87.236.176.25
  • 91.192.223.44

URLs

  • http://153.92.1.49:81/c.sh
  • http://153.92.1.49:82/e.sh
  • http://153.92.1.49:83/wk.sh
  • http://156.96.155.233:8855/1.sh
  • http://156.96.155.233:8855/2.sh
  • http://172.245.16.125/.exec
  • http://172.245.16.125/already
  • http://172.245.16.125/curlfinish
  • http://172.245.16.125/down
  • http://172.245.16.125/wgetfinish
  • http://27.102.128.152:5678/fav.ico
  • http://27.102.128.152:8098/bit.ico
  • http://27.102.67.64:5678/fav.ico
  • http://45.32.120.181/linux.sh
  • http://82.115.220.81/bins/x86
  • http://91.192.223.44:9333/jQ?
  • https://transfer.sh/EewPaMsAUA/xmrig

SHA256

  • 01c6c81abf1206caf6c4004bae8c4999624228c8b1ce7514503e4150c10c21b5
  • 6cb3d4d12357c63e654cf8c7062df0b07d22cf676307598bbf703de5258da519
  • 7af5c37cc308a222f910d6a7b0759837f37e3270e22ce242a8b59ed4d7ec7ceb
  • c0cc0fcbbef380108d7522a778c0beb5e0ecc876bb7dd12bcbcea40ded39f321
  • cdc6e88a31e3a6f559b33b1249a5c4fa44f8c254b2437a5b6b06ff8c8c4d4c1d

 

Похожие записи:

  1. Mirai, RAR1Ransom, GuardMiner IOCs
  2. HelloKitty Ransomware IOCs
  3. GlobeImposter Ransomware IOCs
  4. Уязвимость WAN TP-Link CVE-2023-1389 добавлена в арсенал ботнета Mirai
  5. Злоумышленники эксплуатируют CVE-2023-27350 в PaperCut MF и NG
CVE-2023-46604 HelloKitty Mirai Netcat Ransomware SparkRAT XMRig
Добавить комментарий