L’opération de rançongiciel HelloKitty exploite une faille d’exécution de code à distance (RCE) Apache ActiveMQ récemment révélée pour pirater les réseaux et chiffrer les appareils.

La faille, suivie CVE-2023-46604, est d’une gravité critique (score CVSS v3 : 10,0) RCE permettant aux attaquants d’exécuter des commandes shell arbitraires en exploitant les types de classes sérialisées dans le protocole OpenWire.

Le problème de sécurité a été résolu dans une mise à jour de sécurité du 25 octobre 2023. Cependant, le service de surveillance des menaces ShadowServer a signalé qu’au 30 octobre, il y avait encore 3 329 serveurs exposés à Internet utilisant une version vulnérable à l’exploitation.

Hier, Rapid7 a signalé avoir vu au moins deux cas distincts d’acteurs malveillants exploitant CVE-2023-46604 dans des environnements clients pour déployer les binaires du ransomware HelloKitty et extorquer les organisations ciblées.

HelloKitty est une opération de ransomware lancée en novembre 2020 et dont le code source a récemment été divulgué sur un forum de cybercriminalité russophone, le rendant accessible à tous.

Les attaques observées par Rapid7 ont commencé le 27 octobre, deux jours après qu’Apache a publié le bulletin de sécurité et les correctifs, il semble donc s’agir d’un cas d’exploitation sur n jours.

Rapid7 a analysé deux fichiers MSI déguisés en images PNG, extraits d’un domaine suspect, et a découvert qu’ils contenaient un exécutable .NET qui charge une DLL .NET codée en base64 nommée EncDLL.

EncDLL est chargé de rechercher et d’arrêter des processus spécifiques, de chiffrer les fichiers avec la fonction RSACryptoServiceProvider et de leur ajouter une extension « .locked ».

Certains artefacts laissés par ces attaques incluent :

• Java.exe s’exécutant avec une application Apache comme processus parent, ce qui est atypique.
• Chargement de binaires distants nommés M2.png et M4.png via MSIExec, indicateur d’une activité malveillante.
• Tentatives répétées et infructueuses de chiffrement de fichiers, signalant des efforts d’exploitation maladroits.
• Entrées de journal dans activemq.log affichant des avertissements concernant l’échec des connexions de transport en raison d’une connexion interrompue, ce qui peut suggérer une exploitation.
• Présence de fichiers ou de communications réseau associés au ransomware HelloKitty, identifiables par des domaines spécifiques et des hachages de fichiers.

Le Rapport Rapid7 contient des informations sur les derniers indicateurs de compromission HelloKitty, mais des données plus complètes sur ce front peuvent être trouvées dans ce rapport du FBI concentré sur la famille des ransomwares.

Les dernières statistiques de ShadowServer montrer qu’il existe encore des milliers d’instances ActiveMQ vulnérables, les administrateurs sont donc invités à appliquer les mises à jour de sécurité disponibles dès que possible.

Les versions vulnérables vont de 5.15 à 5.18, y compris les versions héritées du module OpenWire, et sont corrigées dans les versions 5.15.16, 5.16.7, 5.17.6 et 5.18.3.