Hackers estão mirando versões antigas do HTTP File Server (HFS) da Rejetto para inserir malware e softwares de mineração de criptomoedas.
Pesquisadores de ameaças na empresa de segurança AhnLab acreditam que os atacantes estão explorando a CVE-2024-23692, um problema de segurança de gravidade crítica que permite a execução de comandos arbitrários sem necessidade de autenticação.
A vulnerabilidade afeta versões do software até a 2.3m inclusa.
Em uma mensagem em seu site, a Rejetto adverte os usuários que versões de 2.3m até 2.4 são "perigosas e não devem ser mais usadas" devido a um bug que permite aos atacantes "controlar seu computador", e uma solução ainda não foi encontrada.
O AhnLab Security Intelligence Center (ASEC) observou ataques na versão 2.3m do HFS, que continua muito popular entre usuários individuais, pequenas equipes, instituições de ensino e desenvolvedores que querem testar compartilhamento de arquivos em uma rede.
Devido à versão do software visada, os pesquisadores acreditam que os atacantes estão explorando a CVE-2024-23692, uma vulnerabilidade descoberta pelo pesquisador de segurança Arseniy Sharoglazov em agosto do último ano e divulgada publicamente em um relatório técnico em maio deste ano.
A CVE-2024-23692 é uma vulnerabilidade de injeção de template que permite a atacantes remotos não autenticados enviar uma solicitação HTTP especialmente criada para executar comandos arbitrários no sistema afetado.
Logo após a divulgação, um módulo de Metasploit e explorações conceituais (proof of concept) se tornaram disponíveis.
Segundo o ASEC, foi mais ou menos nesse período que começou a exploração ativa.
Os pesquisadores dizem que, durante os ataques, os hackers coletam informações sobre o sistema, instalam backdoors e vários outros tipos de malware.
Atacantes executam comandos como "whoami" e "arp" para coletar informações sobre o sistema e o usuário atual, descobrir dispositivos conectados e, geralmente, planejar ações subsequentes.
Em muitos casos, os atacantes terminam o processo do HFS após adicionarem um novo usuário ao grupo dos administradores, para impedir que outros atores de ameaças o utilizem.
Nas próximas fases dos ataques, o ASEC observou a instalação da ferramenta XMRig para a mineração da criptomoeda Monero.
Os pesquisadores observam que o XMRig foi implementado em pelo menos quatro ataques distintos, um deles atribuído ao grupo de ameaças LemonDuck.
Outros payloads entregues ao computador comprometido incluem:
XenoRAT – Implementado junto com o XMRig para acesso e controle remoto.
Gh0stRAT – Usado para controle remoto e exfiltração de dados de sistemas comprometidos.
PlugX – Um backdoor associado principalmente a atores de ameaças que falam chinês e é usado para acesso persistente.
GoThief – Um ladrão de informações que usa a Amazon AWS para roubar dados.
Ele captura capturas de tela, coleta informações sobre arquivos de desktop e envia dados para um servidor externo de comando e controle (C2).
Os pesquisadores da AhnLab observam que continuam detectando ataques na versão 2.3m do HFS.
Como o servidor precisa estar exposto online para que o compartilhamento de arquivos seja possível, hackers provavelmente continuarão procurando por versões vulneráveis para atacar.
A variante recomendada do produto é a 0.52.x, que, apesar de ser uma versão inferior, é atualmente o último lançamento do HFS pelo desenvolvedor.
É baseada na web, requer configuração mínima, vem com suporte para HTTPS, DNS dinâmico e autenticação para o painel administrativo.
A empresa fornece um conjunto de indicadores de comprometimento no relatório, que inclui hashes para o malware instalado em sistemas violados, endereços IP para servidores de comando e controle dos atacantes e as URLs para download do malware usado nos ataques.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...