Peretas menargetkan versi lama HTTP File Server (HFS) dari Rejetto untuk menyebarkan malware dan perangkat lunak penambangan mata uang kripto.
Peneliti ancaman di perusahaan keamanan AhnLab percaya bahwa aktor ancaman mengeksploitasi CVE-2024-23692masalah keamanan dengan tingkat keparahan kritis yang memungkinkan eksekusi perintah sembarangan tanpa perlu autentikasi.
Kerentanan tersebut memengaruhi versi perangkat lunak hingga dan termasuk 2,3m. Dalam sebuah pesan di situs web mereka, Rejetto memperingatkan pengguna bahwa versi 2,3m hingga 2,4 “berbahaya dan tidak boleh digunakan lagi” karena adanya bug yang memungkinkan penyerang “mengendalikan komputer Anda,” dan perbaikannya belum ditemukan.
Sumber: ASEC
Serangan yang diamati
Pusat Intelijen Keamanan AhnLab (ASEC) mengamati serangan pada HFS versi 2.3m, yang terus menjadi sangat populer di kalangan pengguna individu, tim kecil, lembaga pendidikan, dan pengembang yang ingin menguji berbagi file melalui jaringan.
Karena versi perangkat lunak yang menjadi target, para peneliti percaya bahwa penyerang mengeksploitasi CVE-2024-23692, sebuah kerentanan yang ditemukan oleh peneliti keamanan Arseniy Sharoglazov Agustus lalu dan diungkapkan ke publik dalam laporan teknikal pada bulan Mei tahun ini.
CVE-2024-23692 adalah kerentanan injeksi templat yang memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengirim permintaan HTTP yang dibuat khusus untuk mengeksekusi perintah sembarangan pada sistem yang terpengaruh.
Segera setelah pengungkapan tersebut, Modul Metasploit dan bukti eksploitasi konsep pun tersedia. Menurut ASEC, ini adalah waktu ketika eksploitasi di alam liar dimulai.
Para peneliti mengatakan bahwa selama serangan tersebut, para peretas mengumpulkan informasi tentang sistem, memasang pintu belakang dan berbagai jenis malware lainnya.
Penyerang menjalankan perintah seperti “whoami” dan “arp” untuk mengumpulkan informasi tentang sistem dan pengguna saat ini, menemukan perangkat yang terhubung, dan secara umum merencanakan tindakan selanjutnya.
Sumber: ASEC
Dalam banyak kasus, penyerang menghentikan proses HFS setelah mereka menambahkan pengguna baru ke grup administrator, untuk mencegah pelaku ancaman lain menggunakannya.
Pada fase serangan berikutnya, ASEC mengamati pemasangan alat XMRig untuk menambang mata uang kripto Monero. Para peneliti mencatat bahwa XMRig digunakan dalam setidaknya empat serangan berbeda, salah satunya dilakukan dengan alasan LemonBebek kelompok ancaman.
Muatan lain yang dikirimkan ke komputer yang disusupi meliputi:
- XenoRAT – Diterapkan bersama XMRig untuk akses dan kontrol jarak jauh.
- hantuRAT – Digunakan untuk pengendalian jarak jauh dan pencurian data dari sistem yang diretas.
- Pasang X – Pintu belakang yang sebagian besar dikaitkan dengan pelaku ancaman berbahasa Mandarin yang digunakan untuk akses persisten.
- Pencuri Go – Pencuri informasi yang menggunakan Amazon AWS untuk mencuri data. Ia mengambil tangkapan layar, mengumpulkan informasi pada berkas desktop, dan mengirim data ke server perintah dan kontrol (C2) eksternal.
Sumber: ASEC
Peneliti AhnLab mencatat bahwa mereka terus mendeteksi serangan pada HFS versi 2.3m. Karena server perlu diekspos secara daring agar berbagi berkas dapat dilakukan, peretas akan terus mencari versi yang rentan untuk diserang.
Varian produk yang direkomendasikan adalah 0.52.x, yang meskipun merupakan versi yang lebih rendah, saat ini merupakan rilis HFS terbaru dari pengembang. Produk ini berbasis web, memerlukan konfigurasi minimal, dilengkapi dengan dukungan untuk HTTPS, DNS dinamis, dan autentikasi untuk panel administratif.
Perusahaan menyediakan serangkaian indikator kompromi dalam laporanyang mencakup hash untuk malware yang dipasang pada sistem yang diretas, alamat IP untuk server komando dan kontrol penyerang, dan URL unduhan untuk malware yang digunakan dalam serangan.
