Versões mais antigas dos servidores HFS estão sendo atacado por hackers para lançar malware e mineradores Monero.
HFS (HTTP File Server) é um servidor de arquivos web para rodar em seu computador. Compartilhe pastas ou até mesmo um único arquivo graças ao sistema de arquivos virtual.
Agora, os hackers têm como alvo versões mais antigas do servidor de arquivos HTTP (HFS) da Rejetto para lançar malware e software de mineração de criptomoedas.
Servidores HFS estão sendo atacado por hackers
Os pesquisadores de ameaças da empresa de segurança AhnLab acreditam que os atores da ameaça estão explorando o CVE-2024-23692, um problema de segurança de gravidade crítica que permite a execução de comandos arbitrários sem a necessidade de autenticação.
Em mensagem em seu site, a Rejetto alerta os usuários que as versões 2.3m a 2.4 são “perigosas e não devem mais ser usadas” por causa de um bug que permite que invasores “controlem seu computador”, e uma correção ainda não foi encontrada.
O AhnLab SEcurity Intelligence Center (ASEC) observou ataques à versão 2.3m do HFS, que continua a ser muito popular entre usuários individuais, pequenas equipes, instituições educacionais e desenvolvedores que desejam testar o compartilhamento de arquivos em uma rede.
Por causa da versão do software visada, os pesquisadores acreditam que os invasores estão explorando a CVE-2024-23692, uma vulnerabilidade descoberta pelo pesquisador de segurança Arseniy Sharoglazov em agosto passado e divulgada publicamente em um relatório técnico em maio deste ano.
CVE-2024-23692 é uma vulnerabilidade de injeção de modelo que permite que invasores remotos não autenticados enviem uma solicitação HTTP especialmente criada para executar comandos arbitrários no sistema afetado.
Logo após a divulgação, um módulo Metasploit e explorações de prova de conceito foram disponibilizados. De acordo com a ASEC, foi nessa época que começou a exploração na natureza.
Os pesquisadores afirmam que durante os ataques os hackers coletam informações sobre o sistema, instalam backdoors e diversos outros tipos de malware.
Os invasores executam comandos como “whoami” e “arp” para coletar informações sobre o sistema e o usuário atual, descobrir dispositivos conectados e geralmente planejar ações subsequentes.
Em muitos casos, os invasores encerram o processo HFS após adicionarem um novo usuário ao grupo de administradores, para evitar que outros agentes de ameaças o utilizem.
Nas próximas fases dos ataques, a ASEC observou a instalação da ferramenta XMRig para mineração da criptomoeda Monero. Os pesquisadores observam que o XMRig foi implantado em pelo menos quatro ataques distintos, um deles atribuído ao grupo de ameaças LemonDuck.
Outras cargas entregues ao computador comprometido incluem:
- XenoRAT – Implantado junto com o XMRig para acesso e controle remoto.
- Gh0stRAT – Usado para controle remoto e exfiltração de dados de sistemas violados.
- PlugX – Um backdoor associado principalmente a agentes de ameaças de língua chinesa que é usado para acesso persistente.
- GoThief – Um ladrão de informações que usa o Amazon AWS para roubar dados. Ele captura capturas de tela, coleta informações em arquivos de desktop e envia dados para um servidor externo de comando e controle (C2).
Os pesquisadores do AhnLab observam que continuam detectando ataques na versão 2.3m do HFS. Como o servidor precisa estar exposto online para que o compartilhamento de arquivos seja possível, os hackers continuarão procurando versões vulneráveis para atacar.
A variante recomendada do produto é 0.52.x, que, apesar de ser uma versão inferior, é atualmente a versão HFS mais recente do desenvolvedor. É baseado na web, requer configuração mínima, vem com suporte para HTTPS, DNS dinâmico e autenticação para painel administrativo.
A empresa fornece um conjunto de indicadores de comprometimento no relatório, que inclui hashes para o malware instalado em sistemas violados, endereços IP para servidores de comando e controle do invasor e URLs de download para o malware usado nos ataques.