Hackerek régi HFS szervereket támadnak, hogy malware-t és Monero bányászokat telepítsenek

Az AhnLab biztonsági kutatói felfedezték, hogy hackerek a Rejetto által gyártott HTTP File Server (HFS) régebbi verzióit használják ki rosszindulatú programok és kriptovaluta-bányászati szoftverek terjesztésére. A kutatók úgy vélik, hogy a támadók a HTTP-kiszolgáló egy ismert, CVE-2024-23692 jelzésű hibáját használják ki, amely lehetővé teszi tetszőleges parancsok végrehajtását hitelesítés nélkül. A probléma a szoftver 2.3m verziójáig és a 2.3m és 2.4 közötti verziókban van jelen, a Rejetto azt tanácsolja a felhasználóknak, hogy ne használják a 2.3m és 2.4 közötti verziókat, mivel azokban olyan hiba van, amely lehetővé teszi a támadók számára a felhasználói számítógépek irányítását.

A támadók a jelentések szerint rendszerinformációkat gyűjtöttek, hátsó ajtókat és különféle rosszindulatú szoftvereket telepítettek. A támadást gyakran úgy fejezik be, hogy a HFS-folyamatot leállítják, miután új felhasználót adnak hozzá a rendszergazdák csoportjához, azzal a céllal, hogy megakadályozzák, hogy más hackerek szereplők használhassák azt. A támadás további szakaszai közé tartozott az XMRig telepítése, amely egy Monero kriptopénz bányászatára szolgáló eszköz, amelyet legalább négy különböző támadásban figyeltek meg. A szállított hasznos terhek egyéb típusai közé tartozik a XenoRAT, a Gh0stRAT, a PlugX és a GoThief, amelyek különböző módon távvezérlési, adatszivárgási és információlopási képességeket biztosítanak. Az AhnLab szerint a 2.3m verziójú HFS szerverek elleni támadások várhatóan addig folytatódnak míg nagyszámú támadható szerver lesz elérhető.

(forrás)