信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/胡金魚。

安全公司AhnLab的威脅研究人員發(fā)現(xiàn)，威脅者正在利用CVE-2024-23692嚴重安全漏洞，該漏洞允許在無需身份驗證的情況下執(zhí)行任意命令。

該漏洞影響軟件2.3m及以下版本。Rejetto在其網(wǎng)站上發(fā)布消息警告用戶，2.3m至2.4版本很危險，不應再使用，因為其中存在的漏洞，可讓攻擊者控制用戶的計算機，目前尚未找到修復方法。

Rejetto HFS 2.3m

觀察到的攻擊

AhnLab安全情報中心(ASEC)觀察到針對HFS 2.3m版本的攻擊，該版本在想要通過網(wǎng)絡測試文件共享的個人用戶、企業(yè)、教育機構(gòu)和開發(fā)人員中仍然非常受歡迎。

由于針對的軟件版本較多，研究人員認為攻擊者正在利用CVE-2024-23692漏洞，該漏洞由安全研究員Arseniy Sharoglazov于去年8月發(fā)現(xiàn)，并于今年5月在一份技術報告中公開披露。

CVE-2024-23692是一個模板注入漏洞，允許未經(jīng)身份驗證的遠程攻擊者發(fā)送特制的HTTP請求，在受影響的系統(tǒng)上執(zhí)行任意命令。披露后不久，Metasploit模塊和概念驗證漏洞就出現(xiàn)了。據(jù)ASEC稱，這正是野外利用開始的時間。

研究人員表示，在攻擊期間，黑客會收集有關系統(tǒng)的信息，安裝后門和各種其他類型的惡意軟件。

攻擊者執(zhí)行“whoami”和“arp”等命令來收集有關系統(tǒng)和當前用戶的信息，發(fā)現(xiàn)連接的設備，并通常計劃后續(xù)操作。

通過HFS進程進行的惡意活動

在許多情況下，攻擊者在將新用戶添加到管理員組后會終止HFS進程，以防止其他威脅者使用它。

在攻擊的下一階段，ASEC觀察到用于挖掘門羅幣加密貨幣的XMRig工具的安裝。研究人員指出，XMRig至少在四次不同的攻擊中被部署，其中一次是由LemonDuck威脅組織實施的。

傳送到受感染計算機的其他有效載荷包括：

·XenoRAT–與XMRig一起部署，用于遠程訪問和控制。

·Gh0stRAT–用于遠程控制和從被入侵的系統(tǒng)中竊取數(shù)據(jù)。

·PlugX–一種主要與講中文的威脅者有關的后門，用于持續(xù)訪問。

·GoThief–一種使用Amazon AWS竊取數(shù)據(jù)的信息竊取程序。它會捕獲屏幕截圖、收集桌面文件信息，并將數(shù)據(jù)發(fā)送到外部命令和控制(C2)服務器。

LemonDuck的XenoRAT和掃描工具

AhnLab研究人員指出，他們不斷檢測到針對HFS 2.3m版本的攻擊。由于服務器需要在線公開才能實現(xiàn)文件共享，因此黑客將繼續(xù)尋找易受攻擊的版本進行攻擊。

該產(chǎn)品的推薦版本是0.52.x，盡管版本較低，但目前是開發(fā)人員發(fā)布的最新HFS版本。它基于Web，需要的配置最少，支持HTTPS、動態(tài)DNS和管理面板身份驗證。

該公司在報告中還提供了一組攻擊指標，其中包括安裝在受感染系統(tǒng)上的惡意軟件的哈希值、攻擊者命令和控制服務器的IP地址以及攻擊中使用的惡意軟件的下載URL。