هکرها به نسخههای قدیمیتر نرمافزار سرور فایل HTTP (HFS) که توسط شرکت Rejetto توسعه داده شده است، حمله میکنند تا بدافزار و نرمافزارهای استخراج ارزهای دیجیتال (cryptocurrency mining software) را روی این سرورها نصب کنند.
پژوهشگران امنیتی شرکت AhnLab بر این باورند که هکرها از یک مشکل امنیتی بسیار جدی به نام
CVE-2024-23692 استفاده میکنند. این مشکل امنیتی به هکرها اجازه میدهد تا دستورات دلخواه خود را بدون نیاز به وارد کردن اطلاعات احراز هویت (مانند نام کاربری و رمز عبور) اجرا کنند.
این آسیبپذیری نسخههای نرمافزار تا نسخه۲٫۳m را تحت تأثیر قرار میدهد. در پیامی بر روی وبسایت خود، Rejetto به کاربران هشدار میدهد که نسخههای ۲٫۳m تا ۲٫۴ خطرناک هستند و نباید دیگر استفاده شوند’ به دلیل وجود یک باگ که به مهاجمان اجازه میدهد ‘کامپیوتر شما را کنترل کنند، و هنوز هیچ راه حلی برای آن پیدا نشده است.
حملات مشاهده شده
مرکز اطلاعات امنیتی AhnLab (ASEC) گزارش داده که نسخه ۲٫۳m از نرمافزارHSF هدف حملات قرار گرفته است. این نسخه هنوز در میان کاربران فردی، تیمهای کوچک، مؤسسات آموزشی و توسعهدهندگانی که میخواهند اشتراک فایل را روی شبکه تست کنند، بسیار محبوب است.
پژوهشگران به دلیل نسخه خاص نرمافزاری که هدف حمله قرار گرفته، باور دارند که مهاجمان از آسیبپذیری CVE-2024-23692 استفاده میکنند. این آسیبپذیری توسط پژوهشگر امنیتی به نام Arseniy Sharoglazov در آگوست گذشته کشف شده و جزئیات آن در یک گزارش فنی که در ماه می امسال منتشر شده، به صورت عمومی افشا شده است.
آسیبپذیری CVE-2024-23692 نوعی آسیبپذیری تزریق قالب (template injection) است. این آسیبپذیری به مهاجمان اجازه میدهد که بدون نیاز به ورود (احراز هویت)، با ارسال یک درخواست HTTP بهطور خاص ساخته شده، دستورات دلخواه خود را روی سیستم مورد حمله اجرا کنند.
پس از افشای آسیبپذیری، یک ماژول Metasploit و نمونهای از کدهای بهرهبرداری (PoC) منتشر شد. بر اساس گزارش ASEC، این زمان تقریباً همان زمانی است که بهرهبرداری از این آسیبپذیری در دنیای واقعی آغاز شد.
پژوهشگران گزارش دادهاند که هکرها در جریان حملات، ابتدا اطلاعات مربوط به سیستم را جمعآوری میکنند و سپس دربهای پشتی (backdoors) و سایر انواع بدافزارها را روی سیستم هدف نصب میکنند.
مهاجمان از دستورات ‘whoami’ و ‘arp’ استفاده میکنند تا بفهمند کاربر فعلی سیستم چه کسی است و همچنین دستگاههای متصل به شبکه را شناسایی کنند. این اطلاعات به آنها کمک میکند تا برای مراحل بعدی حمله خود برنامهریزی کنند.
در بسیاری از حملات، مهاجمان پس از اینکه یک کاربر جدید را به گروه مدیران اضافه میکنند، فرآیند نرمافزار HFS را متوقف میکنند. این کار به این منظور است که از اینکه عوامل تهدیدی دیگر از آن استفاده کنند، جلوگیری کنند.
در مراحل بعدی از حملات، ASEC نصب ابزار XMRig برای استخراج ارز دیجیتال Monero را مشاهده کرده است. پژوهشگران به این نکته توجه دارند که XMRig در حداقل چهار حمله متمایز نصب شده بود، و یکی از این حملات به گروه تهدیدی با نام LemonDuck نسبت داده شده است.
سایر بدافزارهایی که وارد سیستم قربانی شده اند عبارت اند از :
- XenoRAT – در کنار XMRig برای دسترسی و کنترل از راه دور مستقر شده است.
- Gh0stRAT – برای کنترل از راه دور و استخراج داده ها از سیستم های هک شده استفاده می شود.
- PlugX – یک Backdoor که بیشتر تیم های چینی از آن استفاده میکنند که برای دسترسی دائمی استفاده می شود.
- GoThief – یک نرم افزار سرقت اطلاعات که از Amazon AWS برای سرقت داده ها استفاده می کند. اسکرین شات می گیرد، اطلاعات فایل های دسکتاپ را جمع آوری می کند، و داده ها را به یک سرور فرمان و کنترل خارجی (C2) ارسال می کند.
پژوهشگران AhnLab توجه دارند که آنها همچنان حملات به نسخه ۲٫۳ m از HFS را شناسایی میکنند. از آنجا که برای امکان اشتراک فایل، سرور باید آنلاین قرار گیرد، هکرها احتمالاً به دنبال نسخههای آسیبپذیر برای حمله هستند.
نسخه پیشنهادی محصول، که با شماره نسخه ۰٫۵۲٫x است، در حال حاضر آخرین نسخه منتشر شده از HFS است که توسط توسعهدهنده ارائه شده است، هرچند که این یک نسخه با شماره کمتر است. این نسخه بر پایه وب عمل میکند، نیاز به تنظیمات حداقلی دارد، و از HTTPS، DNS پویا و احراز هویت برای پنل مدیریتی پشتیبانی میکند.
شرکت در گزارش خود مجموعهای از نشانگرهای نفوذ(IoC) را منتشر کرده است که شامل هشها برای بدافزارهای نصب شده در سیستمهای دچار نفوذ، آدرسهای IP برای سرورهای دستور و کنترل مهاجم، و URLهای دانلود برای بدافزارهایی است که در حملات استفاده شدهاند، میباشد.
