Rejetto HFS: файловый сервер стал майнинг-фермой хакеров

Компания AhnLab сообщает, что хакеры атакуют старые версии HTTP File Server (HFS) от Rejetto, чтобы внедрять вредоносное ПО и майнеры криптовалют.

По данным AhnLab, уязвимость затрагивает версии программного обеспечения до 2.3m включительно. Однако Rejetto предупредила пользователей об опасности использования версий с 2.3m по 2.4 из-за ошибки. Версия 2.3m популярна среди индивидуальных пользователей, небольших команд, образовательных учреждений и разработчиков, тестирующих обмен файлами по сети.

CVE-2024-23692 (оценка CVSS: 9.8) представляет собой уязвимость внедрения шаблона на стороне сервера (Server Side Template Injection, SSTI) и позволяет удалённому злоумышленнику без аутентификации отправлять специально сформированные HTTP-запросы для выполнения произвольных команд на затронутой системе. Ошибка впервые была обнаружена в августе 2023 года и публично раскрыта в техническом отчете в мае этого года.

Сразу после раскрытия информации стали доступны модуль Metasploit и PoC-эксплоит уязвимости. По данным AhnLab, в этот момент начались случаи реальной эксплуатации. В ходе атак хакеры собирают информацию о системе, устанавливают бэкдоры и различные типы вредоносного ПО. В ходе атак хакеры собирают информацию о системе и текущем пользователе, а также ведут поиск подключённых устройств и планируют последующие действия.

Во многих случаях злоумышленники завершают процесс HFS после добавления нового пользователя в группу администраторов, что предотвращает использование недостатка другими хакерами.

На следующих этапах атак устанавливается инструмент XMRig для майнинга криптовалюты Monero. XMRig был развернут как минимум в четырёх атаках. Одну из них приписывают группе LemonDuck.

Другие вредоносные программы, доставляемые на скомпрометированный компьютер, включают:

• XenoRAT – устанавливается вместе с XMRig для удалённого доступа и управления;
• Gh0stRAT – используется для удалённого управления и кражи данных со взломанных систем;
• PlugX – бэкдор, чаще всего ассоциируемый с китайскоязычными хакерами, используется для достижения устойчивого доступа;
• GoThief – инфостилер, использующий Amazon AWS для кражи данных. Делает скриншоты, собирает информацию о файлах на рабочем столе и отправляет данные на C2-сервер.

AhnLab продолжает фиксировать атаки на версию 2.3m. Поскольку сервер должен быть доступен в интернете для обмена файлами, хакеры будут продолжать искать уязвимые версии для атак.

На данный момент рекомендуемая версия продукта – 0.52.10. Несмотря на более низкий номер, это самая последняя версия HFS от разработчика. Она основана на веб-технологиях, требует минимальной настройки, поддерживает HTTPS, динамический DNS и аутентификацию для административной панели.

AhnLab предоставляет набор индикаторов компрометации в своём отчёте, которые включают хэши вредоносного ПО, IP-адреса C2-серверов, а также URL-адреса загрузки вредоносного ПО.