CVE-2023-46604 olarak tanımlanan Apache ActiveMQ Güvenlik Açığı, Mauri Ransomware tehdit aktörleri tarafından CoinMiners’ı yüklemek için kullanıldı.
Tehdit aktörlerinin yama yapılmamış, savunmasız Apache ActiveMQ hizmetlerine sürekli saldırılar düzenlediği tespit edildi. Güvenliği ihlal edilen makineye virüs bulaştığında, tehdit aktörleri fidye yazılımı yükleyebilir veya verileri çalabilir.
Araştırmacılar, güvenlik açığının halka açıklandıktan kısa bir süre sonra, Koreli bilgisayarların Andariel grubu, HelloKitty fidye yazılımı ve Cobalt Strike gibi saldırı senaryolarını göstermesiyle istismar edildiğini iddia ediyor.
Ek olarak Ladon, Netcat, AnyDesk ve z0Miner gibi araçlar yama yapılmamış sistemleri defalarca hedeflemek için kullanıldı.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Apache ActiveMQ Güvenlik Açığı’nı Anlamak
CVE-2023-46604, açık kaynaklı bir mesajlaşma ve kalıp sunucusu olan Apache ActiveMQ sunucusundaki önemli bir uzaktan kod yürütme güvenlik açığıdır.
Tehdit aktörü, yama yapılmamış bir Apache ActiveMQ sunucusunun harici olarak açığa çıkması durumunda uzaktan kötü amaçlı işlemler gerçekleştirebilir ve hedef sistemin kontrolünü ele geçirebilir.
Güvenlik açığı saldırıları, OpenWire protokolünde serileştirilmiş sınıf tipini değiştirerek sınıf yolunda sınıfın bir örneğini oluşturarak yürütülür.
Duyarlı sunucu, tehdit aktörünün gönderdiği değiştirilmiş paketteki yolu (URL) referans alarak sınıf XML yapılandırma dosyasını yükler.
AhnLab, “Mauri fidye yazılımı tehdit aktörlerinin bu güvenlik açığını istismar ettiğinden şüpheleniliyor ve bu da Frpc’nin savunmasız ActiveMQ süreci tarafından yüklenmesine neden oluyor” dedi.
“Kötü amaçlı yazılımın indirildiği sunucu incelendiğinde çeşitli kötü amaçlı yazılımlar, yasal araçlar ve sınıf XML yapılandırma dosyaları bulundu”.
FRP (Hızlı Ters Proxy), NAT veya güvenlik duvarlarının arkasındaki sistemleri dış dünyaya açığa çıkaran, ters proxy görevi görebilen, Go’da yazılmış açık kaynaklı bir yardımcı programdır. FRP, Frpc ve Frps’ye ayrılmıştır.
Frpc, açığa çıkması gereken hizmetin bağlantı noktasına harici bir röle bağlamak için güvenliği ihlal edilmiş sistemlere kurulan bir araçtır.
Tehdit aktörü, XML dosyalarını sıralı bir şekilde kullanmaya çalışır. İlk tür, “adminCaloX1” adı verilen bir arka kapı hesabı ekler ve onu bir yönetici hesabı olarak kaydetmek ve RDP erişimi vermek için komutları çalıştırır.
Özel bir ağ içindeki sistemlere RDP erişimi sağlamak için Frpc’yi ve yapılandırma dosyalarını indirme ve çalıştırma komutları da mevcuttur.
Arka Kapı Hesap Kaydı
Bir arka kapı hesabı eklemek, ActiveMQ güvenlik açığından yararlanan doğrudan komut yürütme yoluyla gerçekleştirilebilir, ancak aynı zamanda açık kaynaklı CreateHiddenAccount programını da kullanır.
NET ile oluşturulan açık kaynaklı bir RAT kötü amaçlı yazılımı olan Quasar RAT’ın bir arka kapı olduğu tespit edildi.
Diğer RAT kötü amaçlı yazılımlarının çoğu gibi, süreç, dosya ve kayıt defteri yönetimi gibi sistem etkinliklerinin yanı sıra uzaktan komut yürütme ve dosya indirme ve yükleme gibi işlevleri de gerçekleştirir.
Buna ek olarak Quasar RAT, kullanıcı ortamlarından bilgi hırsızlığına ve virüslü sistemler üzerinde uzak masaüstü aracılığıyla gerçek zamanlı kontrole olanak tanıyan tuş kaydı ve hesap bilgileri toplama özelliklerini içerir.
Mauri fidye yazılımı, “mauri870” takma adını kullanan bir geliştirici tarafından araştırma amacıyla oluşturuldu. Kaynak koduna açık bir şekilde erişilebildiğinden diğer tehdit aktörleri genellikle bundan yararlanır.
Daha önce Mimo, saldırılarda Mimus adı altında Mauri fidye yazılımını kullanıyordu.
Etkilenen Sürümler
- Apache ActiveMQ sürümleri 5.18.0 – 5.18.2
- Apache ActiveMQ sürümleri 5.17.0 – 5.17.5
- Apache ActiveMQ sürümleri 5.16.0 – 5.16.6
- Apache ActiveMQ sürümleri 5.15.15 veya öncesi
- Apache ActiveMQ Eski OpenWire Modülü sürümleri 5.18.0 – 5.18.2
- Apache ActiveMQ Eski OpenWire Modülü sürümleri 5.17.0 – 5.17.5
- Apache ActiveMQ Eski OpenWire Modülü sürümleri 5.16.0 – 5.16.6
- Apache ActiveMQ Eski OpenWire Modülü sürümleri 5.8.0 – 5.15.15
Bilinen güvenlik açıklarından yararlanan saldırıları durdurmak için sistem yöneticileri, kullandıkları Apache ActiveMQ hizmetinin güvenlik açığı bulunan sürümlerden biri olup olmadığını doğrulamalı ve kötü amaçlı yazılım sızmasını önceden önlemek için en son sürüm olan V3’ü güncellemelidir.
IoC’ler
MD5
07894bc946bd742cec694562e730bac8 25b1c94cf09076eb8ce590ee2f7f108e 2c93a213f08a9f31af0c7fc4566a0e56 2e8a3baeaa0fc85ed787a3c7dfd462e7 3b56e1881d8708c48150978da14da91e
URL’si
http[:]//18[.]139[.]156[.]111[:]83/Google[.]zip http[:]//18[.]139[.]156[.]111[:]83/a[.]exe http[:]//18[.]139[.]156[.]111[:]83/brave[.]exe http[:]//18[.]139[.]156[.]111[:]83/c[.]ini http[:]//18[.]139[.]156[.]111[:]83/chrome[.]exe
IP
18[.]139[.]156[.]111
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses