Новости Rejetto HFS: файловый сервер стал майнинг-фермой хакеров

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
HFS превратился в арсенал вредоносного ПО.


pe5deyepjbirrnkxb8hfc0zwqiaomx2m.jpg


Компания AhnLab Для просмотра ссылки Войди или Зарегистрируйся что хакеры атакуют старые версии HTTP File Server (HFS) от Rejetto, чтобы внедрять вредоносное ПО и майнеры криптовалют.

По данным AhnLab, уязвимость затрагивает версии программного обеспечения до 2.3m включительно. Однако Rejetto предупредила пользователей об опасности использования версий с 2.3m по 2.4 из-за ошибки. Версия 2.3m популярна среди индивидуальных пользователей, небольших команд, образовательных учреждений и разработчиков, тестирующих обмен файлами по сети.

Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 9.8) представляет собой уязвимость внедрения шаблона на стороне сервера (Server Side Template Injection, SSTI ) и позволяет удалённому злоумышленнику без аутентификации отправлять специально сформированные HTTP-запросы для выполнения произвольных команд на затронутой системе. Ошибка впервые была обнаружена в августе 2023 года и публично раскрыта в Для просмотра ссылки Войди или Зарегистрируйся в мае этого года.

Сразу после раскрытия информации Для просмотра ссылки Войди или Зарегистрируйся модуль Metasploit и PoC-эксплоит уязвимости. По данным AhnLab, в этот момент начались случаи реальной эксплуатации. В ходе атак хакеры собирают информацию о системе, устанавливают бэкдоры и различные типы вредоносного ПО. В ходе атак хакеры собирают информацию о системе и текущем пользователе, а также ведут поиск подключённых устройств и планируют последующие действия.

Во многих случаях злоумышленники завершают процесс HFS после добавления нового пользователя в группу администраторов, что предотвращает использование недостатка другими хакерами.

На следующих этапах атак устанавливается инструмент XMRig для майнинга криптовалюты Monero. XMRig был развернут как минимум в четырёх атаках. Одну из них приписывают группе LemonDuck.

Другие вредоносные программы, доставляемые на скомпрометированный компьютер, включают:

  • XenoRAT – устанавливается вместе с XMRig для удалённого доступа и управления;
  • Gh0stRAT – используется для удалённого управления и кражи данных со взломанных систем;
  • PlugX – бэкдор, чаще всего ассоциируемый с китайскоязычными хакерами, используется для достижения устойчивого доступа;
  • GoThief – инфостилер, использующий Amazon AWS для кражи данных. Делает скриншоты, собирает информацию о файлах на рабочем столе и отправляет данные на C2-сервер.
AhnLab продолжает фиксировать атаки на версию 2.3m. Поскольку сервер должен быть доступен в интернете для обмена файлами, хакеры будут продолжать искать уязвимые версии для атак.

На данный момент рекомендуемая версия продукта – Для просмотра ссылки Войди или Зарегистрируйся Несмотря на более низкий номер, это самая последняя версия HFS от разработчика. Она основана на веб-технологиях, требует минимальной настройки, поддерживает HTTPS, динамический DNS и аутентификацию для административной панели.

AhnLab предоставляет Для просмотра ссылки Войди или Зарегистрируйся в своём отчёте, которые включают хэши вредоносного ПО, IP-адреса C2-серверов, а также URL-адреса загрузки вредоносного ПО.
 
Источник новости
www.securitylab.ru

Похожие темы