Hackerii vizează versiunile mai vechi ale serverului HTTP File Server (HFS) de la Rejetto pentru a distribui malware și software de minare de criptomonede.
Cercetătorii de securitate de la compania AhnLab cred că actorii de amenințare exploatează CVE-2024-23692, o problemă de securitate de gravitate critică care permite executarea de comenzi arbitrare fără a fi nevoie de autentificare.
Vulnerabilitatea afectează versiunile de software până la și inclusiv 2.3m. Într-un mesaj pe site-ul lor, Rejetto avertizează utilizatorii că versiunile 2.3m până la 2.4 sunt „periculoase și nu ar trebui să mai fie utilizate” din cauza unei erori care le permite atacatorilor să „controleze computerul dvs.” și încă nu s-a găsit o soluție.
Centrul de informații de securitate AhnLab (ASEC) a observat atacuri asupra versiunii 2.3m a HFS, care rămâne foarte populară printre utilizatorii individuali, echipele mici, instituțiile educaționale și dezvoltatorii care doresc să testeze partajarea de fișiere peste o rețea.
Datorită versiunii de software vizate, cercetătorii cred că atacatorii exploatează CVE-2024-23692, o vulnerabilitate descoperită de cercetătorul de securitate Arseniy Sharoglazov în august anul trecut și dezvăluită public într-un raport tehnic în luna mai a acestui an.
CVE-2024-23692 este o vulnerabilitate de injectare a șablonului care permite atacatorilor remote neautentificați să trimită o cerere HTTP special concepută pentru a executa comenzi arbitrare în sistemul afectat.
În curând după dezvăluire, un modul Metasploit și exploituri de concept au devenit disponibile. Conform ASEC, în jurul acestei perioade a început exploatarea în mediul sălbatic.
Cercetătorii spun că în timpul atacurilor hackerii colectează informații despre sistem, instalează backdoor-uri și diverse alte tipuri de malware.
Atacatorii execută comenzi precum „whoami” și „arp” pentru a aduna informații despre sistem și utilizatorul curent, pentru a descoperi dispozitivele conectate și în general pentru a planifica acțiuni ulterioare.
În multe cazuri, atacatorii opresc procesul HFS după ce adaugă un nou utilizator în grupul administratorilor, pentru a împiedica alți actori de amenințare să-l folosească.
În fazele următoare ale atacurilor, ASEC a observat instalarea instrumentului XMRig pentru minarea criptomonedei Monero. Cercetătorii remarcă faptul că XMRig a fost implementat în cel puțin patru atacuri distincte, unul dintre ele atribuit grupului de amenințări LemonDuck.
Alte încărcături livrate calculatorului compromis includ:
Cercetătorii AhnLab remarcă că continuă să detecteze atacuri asupra versiunii 2.3m a HFS. Deoarece serverul trebuie să fie expus online pentru ca partajarea de fișiere să fie posibilă, hackerii vor continua să caute versiuni vulnerabile de atacat.
Varianta recomandată a produsului este 0.52.x, care, în ciuda faptului că este o versiune inferioară, este în prezent cea mai recentă lansare a HFS de la dezvoltator. Este bazată pe web, necesită o configurare minimă, vine cu suport pentru HTTPS, DNS dinamic și autentificare pentru panoul administrativ.
Compania oferă un set de indicatori de compromitere în raport, care includ hash-urile pentru malware-ul instalat pe sistemele compromise, adresele IP pentru serverele de comandă și control ale atacatorilor și URL-urile de descărcare pentru malware-ul folosit în atacuri.
Microsoft rezolvă zero-day-ul Windows exploatat în atacurile malware QakBot
Jurnalele malware Infostealer folosite pentru identificarea membrilor site-ului de abuz asupra copiilor
Cisco avertizează cu privire la zero-day-ul NX-OS exploatat pentru a implementa malware personalizat
Hackerii exploatează o vulnerabilitate critică în routerul D-Link DIR-859 pentru a fura parole
Noul actor de amenințare Unfurling Hemlock inundă sistemele cu malware
Leave a Reply