HelloKitty fidye yazılımı operasyonu, ağları ihlal etmek ve cihazları şifrelemek için yakın zamanda açıklanan Apache ActiveMQ uzaktan kod yürütme (RCE) kusurundan yararlanıyor.
CVE-2023-46604 ile izlenen kusur, saldırganların OpenWire protokolündeki serileştirilmiş sınıf türlerinden yararlanarak rastgele kabuk komutları yürütmesine olanak tanıyan kritik önemdeki (CVSS v3 puanı: 10,0) RCE’dir.
Güvenlik sorunu 25 Ekim 2023’teki bir güvenlik güncellemesinde giderildi. Ancak tehdit izleme hizmeti ShadowServer, 30 Ekim itibarıyla hâlâ istismara açık bir sürüm kullanan 3.329 internete açık sunucunun bulunduğunu bildirdi.
Rapid7 dün, HelloKitty fidye yazılımı ikili dosyalarını dağıtmak ve hedeflenen kuruluşlara şantaj yapmak için müşteri ortamlarında CVE-2023-46604’ü kullanan en az iki farklı tehdit aktörü vakasına tanık olduklarını bildirdi.
HelloKitty, Kasım 2020’de başlatılan ve yakın zamanda kaynak kodunun Rusça konuşulan bir siber suç forumuna sızdırılarak herkesin kullanımına sunulan bir fidye yazılımı operasyonudur.
Rapid7 tarafından gözlemlenen saldırılar, Apache’nin güvenlik bültenini ve düzeltmeleri yayınlamasından iki gün sonra, 27 Ekim’de başladı, dolayısıyla bu, n günlük bir istismar vakası gibi görünüyor.
Rapid7, şüpheli bir alandan getirilen, PNG görüntüleri olarak gizlenen iki MSI dosyasını analiz etti ve bunların, EncDLL adlı base64 kodlu bir .NET DLL dosyasını yükleyen bir .NET yürütülebilir dosyası içerdiğini buldu.
EncDLL, belirli işlemleri arayıp durdurmaktan, dosyaları RSACryptoServiceProvider işleviyle şifrelemekten ve bunlara “.locked” uzantısı eklemekten sorumludur.
Bu saldırıların geride bıraktığı bazı eserler şunlardır:
- Ana işlem olarak bir Apache uygulamasıyla çalışan Java.exe, bu alışılmadık bir durum.
- M2.png ve M4.png adlı uzak ikili dosyaların MSIExec aracılığıyla yüklenmesi, kötü amaçlı etkinliğin göstergesidir.
- Dosyaları şifrelemeye yönelik tekrarlanan, başarısız girişimler, beceriksizce yararlanma çabalarının sinyalini veriyor.
- Activemq.log’daki günlük girişleri, iptal edilen bir bağlantı nedeniyle başarısız olan aktarım bağlantılarıyla ilgili uyarıları gösterir ve bu, kötüye kullanım önerebilir.
- HelloKitty fidye yazılımıyla ilişkili, belirli alan adları ve dosya karmalarıyla tanımlanabilen dosyaların veya ağ iletişimlerinin varlığı.
Rapid7 raporu, HelloKitty’nin en son güvenlik ihlali göstergeleri hakkında bilgi içeriyor ancak bu cepheye ilişkin daha kapsamlı veriler, fidye yazılımı ailesine odaklanan bu FBI raporunda bulunabilir.
En son ShadowServer istatistikleri, hala binlerce savunmasız ActiveMQ örneğinin bulunduğunu gösteriyor, bu nedenle yöneticilerin mevcut güvenlik güncellemelerini mümkün olan en kısa sürede uygulamaları isteniyor.
Eski OpenWire Modülü sürümleri de dahil olmak üzere 5.15 ile 5.18 arasındaki güvenlik açığı bulunan sürümler, 5.15.16, 5.16.7, 5.17.6 ve 5.18.3 sürümlerinde düzeltilmiştir.