Hacker haben es auf ältere Versionen des HTTP File Servers (HFS) von Rejetto abgesehen, um Malware und Software zum Schürfen von Kryptowährungen zu verbreiten.
Bedrohungsforscher des Sicherheitsunternehmens AhnLab gehen davon aus, dass die Bedrohungsakteure die Sicherheitslücke CVE-2024-23692 ausnutzen, eine Sicherheitslücke mit kritischem Schweregrad, die es ermöglicht, beliebige Befehle auszuführen, ohne dass eine Authentifizierung erforderlich ist.
Die Schwachstelle betrifft die Software-Versionen bis einschließlich 2.3m. In einer Nachricht auf der Rejetto-Website warnt Rejetto die Nutzer, dass die Versionen 2.3m bis 2.4 "gefährlich sind und nicht mehr verwendet werden sollten", da ein Fehler vorliegt, der es Angreifern ermöglicht, "Ihren Computer zu kontrollieren", und eine Lösung noch nicht gefunden wurde.
Beobachtete Angriffe
Das AhnLab SEcurity Intelligence Center (ASEC) beobachtete Angriffe auf die Version 2.3m von HFS, die bei Einzelanwendern, kleinen Teams, Bildungseinrichtungen und Entwicklern, die die gemeinsame Nutzung von Dateien über ein Netzwerk testen wollen, weiterhin sehr beliebt ist.
Aufgrund der angegriffenen Softwareversion gehen die Forscher davon aus, dass die Angreifer die Sicherheitslücke CVE-2024-23692 ausnutzen, die der Sicherheitsforscher Arseniy Sharoglazov im vergangenen August entdeckt und im Mai dieses Jahres in einem technischen Bericht veröffentlicht hat.
CVE-2024-23692 ist eine Template-Injection-Schwachstelle, die es nicht autorisierten Angreifern ermöglicht, eine speziell gestaltete HTTP-Anfrage zu senden, um beliebige Befehle auf dem betroffenen System auszuführen.
Kurz nach der Enthüllung wurden ein Metasploit-Modul und Proof-of-Concept-Exploits verfügbar. Nach Angaben von ASEC war dies ungefähr der Zeitpunkt, an dem die Ausnutzung in freier Wildbahn begann.
Den Forschern zufolge sammeln die Hacker während der Angriffe Informationen über das System, installieren Backdoors und verschiedene andere Arten von Malware.
Angreifer führen Befehle wie "whoami" und "arp" aus, um Informationen über das System und den aktuellen Benutzer zu sammeln, angeschlossene Geräte ausfindig zu machen und generell weitere Aktionen zu planen.
In vielen Fällen beenden die Angreifer den HFS-Prozess, nachdem sie einen neuen Benutzer zur Administratorengruppe hinzugefügt haben, um zu verhindern, dass andere Bedrohungsakteure ihn verwenden.
In den nächsten Phasen der Angriffe beobachtete ASEC die Installation des Tools XMRig zum Mining der Kryptowährung Monero. Die Forscher stellen fest, dass XMRig bei mindestens vier verschiedenen Angriffen eingesetzt wurde, von denen einer der LemonDuck-Bedrohungsgruppe zugeschrieben wird.
Zu den weiteren Nutzdaten, die an den kompromittierten Computer übermittelt wurden, gehören:
- XenoRAT - Wird zusammen mit XMRig für Fernzugriff und -steuerung eingesetzt.
- Gh0stRAT - Wird zur Fernsteuerung und Datenexfiltration von angegriffenen Systemen verwendet.
- PlugX - Eine Backdoor, die meist mit chinesischsprachigen Bedrohungsakteuren in Verbindung gebracht wird und für einen dauerhaften Zugriff verwendet wird.
- GoThief - Ein Informationsdieb, der Amazon AWS nutzt, um Daten zu stehlen. Er erfasst Screenshots, sammelt Informationen über Desktop-Dateien und sendet Daten an einen externen Command-and-Control-Server (C2).
Die Forscher von AhnLab stellen fest, dass sie immer wieder Angriffe auf die Version 2.3m von HFS entdecken. Da der Server online sein muss, damit die gemeinsame Nutzung von Dateien möglich ist, werden die Hacker weiterhin nach anfälligen Versionen suchen, um sie anzugreifen.
Die empfohlene Variante des Produkts ist 0.52.x, die zwar eine niedrigere Version ist, aber dennoch die aktuellste HFS-Version des Entwicklers darstellt. Es ist webbasiert, erfordert nur minimale Konfiguration und bietet Unterstützung für HTTPS, dynamisches DNS und Authentifizierung für das Verwaltungspanel.
Der Bericht enthält eine Reihe von Indikatoren für die Kompromittierung, darunter Hashes für die auf den angegriffenen Systemen installierte Malware, IP-Adressen für Befehls- und Kontrollserver der Angreifer und die Download-URLs für die bei den Angriffen verwendete Malware.
