威胁行为者利用APACHE ACTIVEMQ漏洞，传播GODZILLA WEB SHELL

Trustwave的研究人员观察到，利用Apache ActiveMQ中现已修补的漏洞的攻击激增，在许多情况下，这些攻击旨在传递从开源Web shell Godzilla借来的恶意代码。

威胁行为者将网络外壳隐藏在未知的二进制格式中，从而躲避基于安全和签名的扫描程序。一旦部署，ActiveMQ的JSP引擎就会编译并执行网络外壳。

2023 年 11 月，Rapid7 的研究人员报告称，怀疑有人利用了最近披露的 Apache ActiveMQ 中的关键漏洞 CVE-2023-46604。

Apache ActiveMQ是一个开源的消息代理软件，作为一个面向消息的中间件（MOM）平台。它由Apache软件基金会开发，用Java编写。ActiveMQ为各种应用程序提供消息传递和通信功能，使它们更容易交换数据和异步通信。

Rapid7 发现有人试图利用 CVE-2023-46604 漏洞在两个不同的客户环境中部署 HelloKitty 勒索软件。

CVE-2023-46604（CVSS评分：10.0）是一个远程代码执行漏洞，影响Apache ActiveMQ。具有网络访问权限的远程攻击者可以利用此漏洞通过操纵OpenWire协议中的序列化类类型来运行“任意shell命令，导致代理实例化类路径上的任何类。”
Apache在2023年10月25日发布了新版本的ActiveMQ，解决了该漏洞。研究人员指出，概念验证漏洞利用代码和漏洞细节都是公开可用的。

该漏洞影响以下版本 ：

5.18.3 之前的 ActiveMQ 5.18.0
5.17.6之前的ActiveMQ 5.17.0
5.16.7 之前的 ActiveMQ 5.16.0
5.15.16之前的ActiveMQ
5.18.3 之前的 ActiveMQ 旧版 OpenWire 模块 5.18.0
5.17.6 之前的 ActiveMQ 旧版 OpenWire 模块 5.17.0
5.16.7 之前的 ActiveMQ 旧版 OpenWire 模块 5.16.0
5.15.16 之前的 ActiveMQ 旧版 OpenWire 模块 5.8.0
Trustwave SpiderLabs 观察到的攻击中，恶意文件被植入 ActiveMQ 安装目录中的“admin”文件夹。该文件夹包含 ActiveMQ 管理和 Web 管理控制台的服务器脚本。

Trustwave发布的分析报告称：“有趣的是，Jetty JSP引擎是ActiveMQ中的集成Web服务器，它实际上解析、编译并执行了封装在未知二进制文件中的嵌入式Java代码。对Jetty生成的Java代码的进一步检查表明，Web shell代码被转换为Java代码，因此被执行了。”

一旦部署了网络后门，威胁行为者可以通过Godzilla管理用户界面连接到它，实现对目标系统的完全控制。

Godzilla Web Shell支持多种功能，包括：

查看网络详细信息：
进行端口扫描
执行 Mimikatz 命令
运行 Meterpreter 命令
执行 shell 命令
远程管理SQL数据库
将外壳代码注入进程
处理文件管理任务
该报告包括泄露指标（IoC）。

原文始发于微信公众号（黑猫安全）：威胁行为者利用APACHE ACTIVEMQ漏洞，传播GODZILLA WEB SHELL