Компания AhnLab сообщает,что хакеры атакуют старые версии ” data-html=”true” data-original-title=”HTTP” >HTTP File Server (HFS) от Rejetto, чтобы внедрять вредоносное ПО и майнеры криптовалют.
По данным AhnLab, уязвимость затрагивает версии программного обеспечения до 2.3m включительно. Однако Rejetto предупредила пользователей об опасности использования версий с 2.3m по 2.4 из-за ошибки. Версия 2.3m популярна среди индивидуальных пользователей, небольших команд, образовательных учреждений и разработчиков, тестирующих обмен файлами по сети.
CVE-2024-23692(оценка CVSS: 9.8) представляет собой уязвимость внедрения шаблона на стороне сервера (Server Side Template Injection, SSTI) и позволяет удалённому злоумышленнику без аутентификации отправлять специально сформированные HTTP-запросы для выполнения произвольных команд на затронутой системе. Ошибка впервые была обнаружена в августе 2023 года и публично раскрыта в техническом отчете в мае этого года.
Сразу после раскрытия информации стали доступнымодуль Metasploit и PoC-эксплоит уязвимости. По данным AhnLab, в этот момент начались случаи реальной эксплуатации. В ходе атак хакеры собирают информацию о системе, устанавливают бэкдоры и различные типы вредоносного ПО. В ходе атак хакеры собирают информацию о системе и текущем пользователе, а также ведут поиск подключённых устройств и планируют последующие действия.
Во многих случаях злоумышленники завершают процесс HFS после добавления нового пользователя в группу администраторов, что предотвращает использование недостатка другими хакерами.
На следующих этапах атак устанавливается инструмент XMRig для майнинга криптовалюты Monero. XMRig был развернут как минимум в четырёх атаках. Одну из них приписывают группе LemonDuck.
Другие вредоносные программы, доставляемые на скомпрометированный компьютер, включают:
- XenoRAT – устанавливается вместе с XMRig для удалённого доступа и управления;
- Gh0stRAT – используется для удалённого управления и кражи данных со взломанных систем;
- PlugX – бэкдор, чаще всего ассоциируемый с китайскоязычными хакерами, используется для достижения устойчивого доступа;
- GoThief – инфостилер, использующий Amazon AWS для кражи данных. Делает скриншоты, собирает информацию о файлах на рабочем столе и отправляет данные на C2-сервер.
AhnLab продолжает фиксировать атаки на версию 2.3m. Поскольку сервер должен быть доступен в интернете для обмена файлами, хакеры будут продолжать искать уязвимые версии для атак.
На данный момент рекомендуемая версия продукта – 0.52.10. Несмотря на более низкий номер, это самая последняя версия HFS от разработчика. Она основана на веб-технологиях, требует минимальной настройки, поддерживает HTTPS, динамический DNS и аутентификацию для административной панели.
AhnLab предоставляет набор индикаторов компрометации в своём отчёте, которые включают хэши вредоносного ПО, IP-адреса C2-серверов, а также URL-адреса загрузки вредоносного ПО.