Hackers στοχεύουν παλαιότερες εκδόσεις του HTTP File Server (HFS) από Rejetto για να εγκαταστήσουν malware και cryptominers.
Σύμφωνα με ερευνητές της AhnLab, οι hackers εκμεταλλεύονται την ευπάθεια CVE-2024-23692, μια σοβαρή ευπάθεια που επιτρέπει την εκτέλεση αυθαίρετων εντολών χωρίς την ανάγκη ελέγχου ταυτότητας.
Η Rejetto προειδοποιεί τους χρήστες ότι οι εκδόσεις 2.3m έως 2.4 είναι “επικίνδυνες και δεν πρέπει να χρησιμοποιούνται πλέον” μέχρι να διορθωθεί η ευπάθεια. Το κενό ασφαλείας μπορεί να επιτρέψει στους επιτιθέμενους να “ελέγχουν τον υπολογιστή σας”, ανέφερε χαρακτηριστικά η Rejetto.
Δείτε επίσης: Αποφύγετε το malware κατά το stream του UEFA EURO 2024
Στόχευση παλαιότερων εκδόσεων HFS
Το AhnLab SEcurity Intelligence Center (ASEC) παρατήρησε επιθέσεις που στόχευαν την έκδοση 2.3m του HFS. Πρόκειται για μια δημοφιλή έκδοση μεταξύ απλών χρηστών, μικρών ομάδων, εκπαιδευτικών ιδρυμάτων και προγραμματιστών που θέλουν να δοκιμάσουν την κοινή χρήση αρχείων μέσω ενός δικτύου.
Η στόχευση αυτής της έκδοσης κάνει τους ερευνητές να πιστεύουν ότι οι επιτιθέμενοι εκμεταλλεύονται την ευπάθεια CVE-2024-23692, την οποία ανακάλυψε ο ερευνητής ασφάλειας Arseniy Sharoglazov πέρυσι τον Αύγουστο και αποκαλύφθηκε δημόσια τον Μάιο του τρέχοντος έτους.
Το CVE-2024-23692 είναι μια ευπάθεια template injection, που επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους εισβολείς να στείλουν ένα ειδικά διαμορφωμένο αίτημα HTTP για να εκτελέσουν αυθαίρετες εντολές στο επηρεαζόμενο σύστημα.
Αμέσως μετά την αποκάλυψη της ευπάθειας, κυκλοφόρησαν proof of concept exploits. Σύμφωνα με το ASEC, περίπου την ίδια περίοδο ξεκίνησαν και οι επιθέσεις εναντίον του HTTP File Server (HFS) της Rejetto.
Οι ερευνητές λένε ότι οι επιτιθέμενοι που στοχεύουν τις παλαιότερες εκδόσεις HFS, συλλέγουν πληροφορίες για το σύστημα, εγκαθιστούν backdoors και διάφορα άλλα είδη malware, συμπεριλαμβανομένων cryptominers.
Οι εισβολείς εκτελούν εντολές όπως “whoami” και “arp” για να συλλέξουν πληροφορίες σχετικά με το σύστημα και τον τρέχοντα χρήστη, να ανακαλύψουν συνδεδεμένες συσκευές και γενικά να σχεδιάσουν τις επόμενες κακόβουλες ενέργειές τους.
Δείτε επίσης: Google Play: Κακόβουλη εφαρμογή QR reader διένειμε το banking malware Anatsa
Σε πολλές περιπτώσεις, οι εισβολείς τερματίζουν τη διαδικασία HFS αφού προσθέσουν έναν νέο χρήστη στην ομάδα των διαχειριστών.
Ένα από τα cryptominers που παρατήρησαν οι ερευνητές είναι το XMRig, που χρησιμοποιείται για την εξόρυξη κρυπτονομισμάτων Monero. Οι ερευνητές σημειώνουν ότι το XMRig αναπτύχθηκε σε τουλάχιστον τέσσερις επιθέσεις. Η μία από αυτές αποδόθηκε στην ομάδα απειλών LemonDuck.
Άλλα malware που χρησιμοποιήθηκαν σε αυτές τις επιθέσεις, είναι τα: XenoRAT, Gh0stRAT, PlugX και GoThief.
Οι ερευνητές της AhnLab σημειώνουν ότι συνεχίζουν να εντοπίζουν επιθέσεις στην έκδοση 2.3m του HFS. Η συνιστώμενη παραλλαγή του προϊόντος είναι η 0.52.x, η οποία, παρόλο που είναι χαμηλότερη έκδοση, είναι η πιο πρόσφατη έκδοση HFS από τον προγραμματιστή (μέχρι στιγμής).
Οι ερευνητές παρέχουν ένα σύνολο δεικτών παραβίασης στην αναφορά τους.
Αυτή η καμπάνια χρησιμεύει ως υπενθύμιση ότι οι απειλές στον κυβερνοχώρο εξελίσσονται συνεχώς και γίνονται πιο περίπλοκες. Ως χρήστες, είναι σημαντικό να παραμείνουμε ενημερωμένοι και να λαμβάνουμε τις απαραίτητες προφυλάξεις για να προστατευτούμε.
Δείτε επίσης: FakeBat Loader malware: Διαδίδεται μέσω επιθέσεων Drive-by
Επιπλέον, για να αμυνθούν οι οργανισμοί έναντι των malware και cryptominers, θα πρέπει να διατηρούν τα συστήματα και τις εφαρμογές τους ενημερωμένα, να χρησιμοποιούν προηγμένες λύσεις προστασίας, να παρακολουθούν το network traffic και να χρησιμοποιούν συστήματα ανίχνευσης εισβολών.
Η εκπαίδευση υπαλλήλων και απλών χρηστών σχετικά με τις νέες απειλές είναι, επίσης, απαραίτητη για την αποφυγή τέτοιων επιθέσεων.
Καθώς η τεχνολογία εξελίσσεται, το ίδιο συμβαίνει και με τις τακτικές που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου. Η ενημέρωση σχετικά με πιθανές απειλές και η λήψη των απαραίτητων προφυλάξεων μπορεί να σας βοηθήσει να διατηρήσετε τη συσκευή και τα προσωπικά σας στοιχεία ασφαλή.
Πηγή: www.bleepingcomputer.com