Компания Huntress зафиксировала активность эксплуатации дефекта Samsung MagicINFO 9 Server, обнаружив уязвимости и инциденты у нескольких клиентов. Злоумышленники использовали различные команды, включая скачивание файлов и создание службы PHP5.3.8, но столкнулись с трудностями при запуске.
Описание
Несмотря на то, что большой количество компаний установили эту систему, на данный момент, компанией Huntress зарегистрировано лишь три инцидента, связанные с данной уязвимостью (CVE-2024-7399) . Злоумышленники использовали различные команды, включая загрузку и запуск исполняемых файлов с удаленных серверов. Некоторые команды были связаны с разведкой, указывая на неорганизованность атак.
Атакующие столкнулись с трудностями при попытках установить и запустить службу на хосте с помощью скриптов, что подтверждается анализом системного журнала событий. После неудачных попыток установки службы PHP5.3.8, они обнаружили записи о невозможности запуска службы. При анализе журнала событий были зафиксированы попытки установки службы, но из-за проблем с запуском, служба так и не успешно запустилась, что отразилось в идентификаторе события 7000.
Эксперты отмечают, что несмотря на относительно небольшое количество инцидентов, использование уязвимости в Samsung MagicINFO 9 Server представляет серьезную угрозу для безопасности. Злоумышленники продолжают экспериментировать с различными командами, пытаясь извлечь выгоду из уязвимости и провести дальнейшие атаки на серверы. Предупреждается о необходимости немедленного устранения уязвимостей и принятии соответствующих мер по защите информации и инфраструктуры от возможных киберугроз.
Индикаторы компрометации
URLs
- http://185.225.226.53/php_cli.exe
- http://185.225.226.53/srvany.exe
SHA256
- abd4afd71b3c2bd3f741bbe3cec52c4fa63ac78d353101d2e7dc4de2725d1ca1
- c9c464c872b539eee7481e15331b7a6c75f4ba1f24b64d9f36a70b87a164d122