Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга



 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 01-16-2025, 07:33 PM

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default


HFS превратился в арсенал вредоносного ПО.

Компания AhnLab https://asec.ahnlab.com/en/67650/, что хакеры атакуют старые версии HTTP File Server (HFS) от Rejetto, чтобы внедрять вредоносное ПО и майнеры криптовалют.
По данным AhnLab, уязвимость затрагивает версии программного обеспечения до 2.3m включительно. Однако Rejetto предупредила пользователей об опасности использования версий с 2.3m по 2.4 из-за ошибки. Версия 2.3m популярна среди индивидуальных пользователей, небольших команд, образовательных учреждений и разработчиков, тестирующих обмен файлами по сети.
CVE-2024-23692 (оценка CVSS: 9.8) представляет собой уязвимость внедрения шаблона на стороне сервера (Server Side Template Injection, SSTI) и позволяет удалённому злоумышленнику без аутентификации отправлять специально сформированные HTTP-запросы для выполнения произвольных команд на затронутой системе. Ошибка впервые была обнаружена в августе 2023 года и публично раскрыта в техническом отчете в мае этого года.
Сразу после раскрытия информации стали доступны модуль Metasploit и PoC-эксплоит уязвимости. По данным AhnLab, в этот момент начались случаи реальной эксплуатации. В ходе атак хакеры собирают информацию о системе, устанавливают бэкдоры и различные типы вредоносного ПО. В ходе атак хакеры собирают информацию о системе и текущем пользователе, а также ведут поиск подключённых устройств и планируют последующие действия.
Во многих случаях злоумышленники завершают процесс HFS после добавления нового пользователя в группу администраторов, что предотвращает использование недостатка другими хакерами.
На следующих этапах атак устанавливается инструмент XMRig для майнинга криптовалюты Monero. XMRig был развернут как минимум в четырёх атаках. Одну из них приписывают группе LemonDuck.
Другие вредоносные программы, доставляемые на скомпрометированный компьютер, включают:
  • XenoRAT – устанавливается вместе с XMRig для удалённого доступа и управления;

  • Gh0stRAT – используется для удалённого управления и кражи данных со взломанных систем;

  • PlugX – бэкдор, чаще всего ассоциируемый с китайскоязычными хакерами, используется для достижения устойчивого доступа;

  • GoThief – инфостилер, использующий Amazon AWS для кражи данных. Делает скриншоты, собирает информацию о файлах на рабочем столе и отправляет данные на C2-сервер.

AhnLab продолжает фиксировать атаки на версию 2.3m. Поскольку сервер должен быть доступен в интернете для обмена файлами, хакеры будут продолжать искать уязвимые версии для атак.
На данный момент рекомендуемая версия продукта – 0.52.10. Несмотря на более низкий номер, это самая последняя версия HFS от разработчика. Она основана на веб-технологиях, требует минимальной настройки, поддерживает HTTPS, динамический DNS и аутентификацию для административной панели.
AhnLab предоставляет набор индикаторов компрометации в своём отчёте, которые включают хэши вредоносного ПО, IP-адреса C2-серверов, а также URL-адреса загрузки вредоносного ПО.
 

Tags
NULL


Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is On

Forum Jump




All times are GMT. The time now is 09:51 PM.