HelloKitty Ransomware

พบการโจมตี HelloKitty Ransomware โดยใช้ประโยชน์จากช่องโหว่บน Apache ActiveMQ  

By admin News

ผู้ไม่ประสงค์ดี HelloKitty Ransomware กำลังใช้ประโยชน์จากช่องโหว่การเรียกใช้โค้ดจากระยะไกล(RCE)
บน Apache ActiveMQ เพื่อเข้าสู่ระบบเครือข่ายและเข้ารหัสอุปกรณ์ต่าง ๆ โดยไม่ได้รับอนุญาต  

ช่องโหว่ CVE-2023-46604 เป็นช่องโหว่ที่มีความรุนแรง (คะแนน CVSS v3: 10.0) ทำให้ผู้โจมตีสามารถรันคำสั่งโค้ดได้โดยไม่ได้รับอนุญาต ซึ่งเป็นการใช้ประโยชน์จาก Serialized Class Types ในโปรโตคอล OpenWire 

ช่องโหว่ได้รับการแก้ไขโดยมีการอัปเดตความปลอดภัยเมื่อวันที่ 25 ตุลาคม ค.ศ. 2023 แต่ผู้เชี่ยวชาญด้านความปลอดภัยของ ShadowServer กล่าวว่า เมื่อวันที่ 30 ตุลาคม ค.ศ. 2023 ยังพบเซิร์ฟเวอร์ที่เปิดใช้      
บนอินเทอร์เน็ตจำนวน 3,329 เครื่องที่ยังใช้เวอร์ชันที่ยังไม่ได้มีการแก้ไขช่องโหว่ซึ่งมีความเสี่ยงถูกโจมตีได้ 

บริษัท Rapid7 รายงานว่าพบผู้ใช้งานระบบขององค์กรที่ใช้ประโยชน์จากช่องโหว่ CVE-2023-46604  เพื่อแพร่กระจาย HelloKitty Ransomware และถูกเรียกค่าไถ่จากองค์กรที่ตกเป้นเป้าหมาย โดยพบการโจมตี    
เมื่อวันที่ 27 ตุลาคม 2023 หลังจากที่ Apache เผยแพร่ข้อมูลเกี่ยวกับและการแก้ไขช่องโหว่ จากการวิเคราะห์ไฟล์ MSI พบว่ามีไฟล์ .NET executable ที่ควบคุมการดาวน์โหลดไฟล์ .NET DLL ที่ถูกเข้ารหัสด้วย base64  โดยใช้ชื่อ EncDLL ซึ่งมีหน้าที่ค้นหาและหยุดกระบวนการทำงานด้วยฟังก์ชัน RSACryptoServiceProvider   และเพิ่มนามสกุล “.locked” ให้กับไฟล์  

ข้อมูลที่ตรวจพบหลังจากการโจมตี: 

  • Java.exe ที่ทำงานร่วมกับแอปพลิเคชัน Apache โดยเป็นกระบวนการหลักที่ผิดปกติ 
  • การโหลดไฟล์จากระยะไกลที่มีชื่อ M2.png และ M4.png ผ่าน MSIExec เป็นการบอกถึงพฤติกรรมที่น่าสงสัย 
  • การพยายามเข้ารหัสไฟล์ซ้ำ ๆ และผิดพลาด ซึ่งแสดงถึงความพยายามในการใช้ประโยชน์จากช่องโหว่ 
  • การบันทึกเข้ารหัสใน activemq.log ที่แสดงคำเตือนเกี่ยวกับการเชื่อมต่อที่ผิดพลาด ซึ่งอาจเป็นสัญญาณการโจมตี 
  • การมีไฟล์หรือการสื่อสารในระบบเครือข่ายที่เกี่ยวข้องกับ HelloKitty Ransomware สามารถระบุได้จากโดเมนและ File Hash โดยเฉพาะ 

จากข้อมูลสถิติล่าสุดของ ShadowServer ยังคงมีหลายพนรายการในระบบ ActiveMQ ที่พบช่องโหว่            
ที่ยังไม่ได้รับการแก้ไข ดังนั้นผู้ดูแลระบบควรรีบอัปเดตความปลอดภัยโดยเร็ว ซึ่งรุ่นที่พบช่องโหว่อยู่ในช่วง              ระหว่างเวอร์ชัน 5.15 และ 5.18, รวมถึงเวอร์ชัน Legacy OpenWire Module ได้รับการแก้ไขช่องโหว่แล้ว       
ในเวอร์ชัน 5.15.16, 5.16.7, 5.17.6 และ 5.18.3 

คำแนะนำ 

  • ไม่ควรเปิดไฟล์แนบหรือคลิกลิงค์จากบุคคลหรือแหล่งที่มาที่ไม่รู้จัก   
  • อัปเดตระบบซอฟต์แวร์ป้องกันไวรัสและระบบปฏิบัติการให้เป็นปัจจุบันอยู่เสมอ   
  • ควรสำรองข้อมูลที่สำคัญเป็นประจำ เพื่อสามารถกู้คืนข้อมูลได้ 
  • ควรสแกนเครื่องคอมพิวเตอร์และอุปกรณ์เก็บข้อมูลเพื่อตรวจหามัลแวร์ก่อนการใช้งาน  

Ref: https://www.bleepingcomputer.com/news/security/hellokitty-ransomware-now-exploiting-apache-activemq-flaw-in-attacks/ 

Share