- 13,579
- 20
- 8 Ноя 2022
HFS превратился в арсенал вредоносного ПО.
Компания AhnLab Для просмотра ссылки Войдиили Зарегистрируйся что хакеры атакуют старые версии HTTP File Server (HFS) от Rejetto, чтобы внедрять вредоносное ПО и майнеры криптовалют.
По данным AhnLab, уязвимость затрагивает версии программного обеспечения до 2.3m включительно. Однако Rejetto предупредила пользователей об опасности использования версий с 2.3m по 2.4 из-за ошибки. Версия 2.3m популярна среди индивидуальных пользователей, небольших команд, образовательных учреждений и разработчиков, тестирующих обмен файлами по сети.
Для просмотра ссылки Войдиили Зарегистрируйся (оценка CVSS: 9.8) представляет собой уязвимость внедрения шаблона на стороне сервера (Server Side Template Injection, SSTI ) и позволяет удалённому злоумышленнику без аутентификации отправлять специально сформированные HTTP-запросы для выполнения произвольных команд на затронутой системе. Ошибка впервые была обнаружена в августе 2023 года и публично раскрыта в Для просмотра ссылки Войди или Зарегистрируйся в мае этого года.
Сразу после раскрытия информации Для просмотра ссылки Войдиили Зарегистрируйся модуль Metasploit и PoC-эксплоит уязвимости. По данным AhnLab, в этот момент начались случаи реальной эксплуатации. В ходе атак хакеры собирают информацию о системе, устанавливают бэкдоры и различные типы вредоносного ПО. В ходе атак хакеры собирают информацию о системе и текущем пользователе, а также ведут поиск подключённых устройств и планируют последующие действия.
Во многих случаях злоумышленники завершают процесс HFS после добавления нового пользователя в группу администраторов, что предотвращает использование недостатка другими хакерами.
На следующих этапах атак устанавливается инструмент XMRig для майнинга криптовалюты Monero. XMRig был развернут как минимум в четырёх атаках. Одну из них приписывают группе LemonDuck.
Другие вредоносные программы, доставляемые на скомпрометированный компьютер, включают:
На данный момент рекомендуемая версия продукта – Для просмотра ссылки Войдиили Зарегистрируйся Несмотря на более низкий номер, это самая последняя версия HFS от разработчика. Она основана на веб-технологиях, требует минимальной настройки, поддерживает HTTPS, динамический DNS и аутентификацию для административной панели.
AhnLab предоставляет Для просмотра ссылки Войдиили Зарегистрируйся в своём отчёте, которые включают хэши вредоносного ПО, IP-адреса C2-серверов, а также URL-адреса загрузки вредоносного ПО.
Компания AhnLab Для просмотра ссылки Войди
По данным AhnLab, уязвимость затрагивает версии программного обеспечения до 2.3m включительно. Однако Rejetto предупредила пользователей об опасности использования версий с 2.3m по 2.4 из-за ошибки. Версия 2.3m популярна среди индивидуальных пользователей, небольших команд, образовательных учреждений и разработчиков, тестирующих обмен файлами по сети.
Для просмотра ссылки Войди
Сразу после раскрытия информации Для просмотра ссылки Войди
Во многих случаях злоумышленники завершают процесс HFS после добавления нового пользователя в группу администраторов, что предотвращает использование недостатка другими хакерами.
На следующих этапах атак устанавливается инструмент XMRig для майнинга криптовалюты Monero. XMRig был развернут как минимум в четырёх атаках. Одну из них приписывают группе LemonDuck.
Другие вредоносные программы, доставляемые на скомпрометированный компьютер, включают:
- XenoRAT – устанавливается вместе с XMRig для удалённого доступа и управления;
- Gh0stRAT – используется для удалённого управления и кражи данных со взломанных систем;
- PlugX – бэкдор, чаще всего ассоциируемый с китайскоязычными хакерами, используется для достижения устойчивого доступа;
- GoThief – инфостилер, использующий Amazon AWS для кражи данных. Делает скриншоты, собирает информацию о файлах на рабочем столе и отправляет данные на C2-сервер.
На данный момент рекомендуемая версия продукта – Для просмотра ссылки Войди
AhnLab предоставляет Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
