Les pirates ciblent les anciennes versions du serveur de fichiers HTTP (HFS) de Rejetto pour supprimer les logiciels malveillants et les logiciels d’extraction de crypto-monnaie.

Les chercheurs en menaces de la société de sécurité AhnLab pensent que les auteurs de la menace exploitent CVE-2024-23692, un problème de sécurité de gravité critique qui permet d’exécuter des commandes arbitraires sans avoir besoin de s’authentifier.

La vulnérabilité affecte les versions du logiciel jusqu’à 2,3 m inclus. Dans un message sur leur site Web, Rejetto avertit les utilisateurs que les versions 2,3 m à 2,4 sont « dangereuses et ne doivent plus être utilisées » en raison d’un bogue qui permet aux attaquants de « contrôler votre ordinateur », et un correctif n’a pas encore été trouvé.

Réjetteur HFS 2,3 m

Attaques observées
AhnLab SEcurity Intelligence Center (ASEC) a observé des attaques sur la version 2.3 m de HFS, qui continue d’être très populaire parmi les utilisateurs individuels, les petites équipes, les établissements d’enseignement et les développeurs qui souhaitent tester le partage de fichiers sur un réseau.

En raison de la version du logiciel ciblée, les chercheurs pensent que les attaquants exploitent CVE-2024-23692, une vulnérabilité découverte par le chercheur en sécurité Arseniy Sharoglazov en août dernier et divulguée publiquement dans un rapport technique en mai de cette année.

CVE-2024-23692 est une vulnérabilité d’injection de modèle qui permet à des attaquants distants non authentifiés d’envoyer une requête HTTP spécialement conçue pour exécuter des commandes arbitraires sur le système affecté.

Peu de temps après la divulgation, un module Metasploit et des exploits de preuve de concept sont devenus disponibles. Selon l’ASEC, c’est à peu près au moment où l’exploitation à l’état sauvage a commencé.

Les chercheurs disent que lors des attaques, les pirates collectent des informations sur le système, installent des portes dérobées et divers autres types de logiciels malveillants.

Les attaquants exécutent des commandes telles que « whoami » et  » arp  » pour collecter des informations sur le système et l’utilisateur actuel, découvrir les appareils connectés et généralement planifier les actions suivantes.

Activité malveillante menée via le processus HFS

Dans de nombreux cas, les attaquants mettent fin au processus HFS après avoir ajouté un nouvel utilisateur au groupe des administrateurs, pour empêcher d’autres acteurs de la menace de l’utiliser.

Dans les phases suivantes des attaques, l’ASEC a observé l’installation de l’outil XMRig pour l’extraction de la crypto-monnaie Monero. Les chercheurs notent que XM Rig a été déployé dans au moins quatre attaques distinctes, dont l’une a été attribuée au groupe de menaces LemonDuck.

Les autres charges utiles livrées à l’ordinateur compromis incluent:

  • XenoRAT-Déployé aux côtés de XMRig pour l’accès et le contrôle à distance.
  • Gh0stRAT-Utilisé pour le contrôle à distance et l’exfiltration de données des systèmes piratés.
  • PlugX – Une porte dérobée principalement associée aux acteurs de la menace de langue chinoise qui est utilisée pour un accès persistant.
  • GoThief – Un voleur d’informations qui utilise Amazon AWS pour voler des données. Il capture des captures d’écran, collecte des informations sur les fichiers de bureau et envoie des données à un serveur de commande et de contrôle externe (C2).
XenoRAT et outil de numérisation de LemonDuck

Les chercheurs d’AhnLab notent qu’ils continuent de détecter des attaques sur la version 2.3 m de HFS. Étant donné que le serveur doit être exposé en ligne pour que le partage de fichiers soit possible, les pirates voudront continuer à rechercher des versions vulnérables à attaquer.

La variante recommandée du produit est 0,52.x, qui, bien qu’il s’agisse d’une version inférieure, est actuellement la dernière version HFS du développeur. Il est basé sur le Web, nécessite une configuration minimale, prend en charge HTTPS, DNS dynamique et l’authentification pour le panneau d’administration.

La société fournit un ensemble d’indicateurs de compromission dans le rapport, qui incluent des hachages pour les logiciels malveillants installés sur les systèmes piratés, des adresses IP pour les serveurs de commande et de contrôle des attaquants et les URL de téléchargement des logiciels malveillants utilisés dans les attaques.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *