Главная страница » Индикаторы компрометации
0
4 дня
Индикаторы компрометации

Imperva обнаружила массовую кампанию распространения троянов и вымогателей через уязвимость в Rejetto HFS

information security

19 июля исследовательская группа Imperva Threat Research зафиксировала резкий всплеск HTTP-зондирования, нацеленного на экземпляры Rejetto HTTP File Server (HFS) версии 2.x. Первоначально воспринятая как фоновый интернет-шум активность быстро раскрыла свою истинную природу - скоординированную кампанию по эксплуатации критической уязвимости CVE-2024-23692 с рейтингом CVSS 9.8. Уязвимость позволяет выполнять произвольные команды без аутентификации, превращая забытые файловые серверы в плацдармы для развертывания программ-вымогателей и троянских программ.

Описание

Атака началась с массового сканирования интернета в поиске незащищенных серверов HFS 2.3m и более ранних версий. Злоумышленники использовали неаутентифицированную шаблонную инъекцию через параметр поиска (search) для выполнения произвольных команд. Для полного компрометирования системы требовался всего один специально сформированный HTTP-запрос, загружающий и запускающий вредоносные полезные нагрузки. В рамках кампании было зафиксировано 662 попытки эксплуатации на 55 доменах клиентов Imperva в течение нескольких дней непрерывной активности. Каждая такая попытка потенциально могла привести к инциденту с шифрованием данных.

Rejetto HFS представляет собой облегченный веб-сервер для Windows, предназначенный для быстрого обмена файлами через HTTP без развертывания полнофункционального веб-стека. Вместо традиционных каталогов и разрешений система предоставляет доступ к папкам или отдельным файлам через простой графический интерфейс и встроенную систему шаблонов, способную выполнять макросы. Именно эта особенность стала ахиллесовой пятой безопасности.

Эксплуатация уязвимости CVE-2024-23692 основана на внедрении серверных шаблонов (SSTI). Злоумышленники использовали специально сформированные значения параметра search, позволяющие выйти за пределы контекста шаблона и создать новый макрос "exec". Конструкция "{.exec|{.?cmd.}" ссылается на параметр "cmd", содержащий вредоносную полезную нагрузку. Поскольку HFS оценивает фрагменты шаблонов, предоставленные пользователем, после декодирования URL, это приводит к выполнению произвольного кода без какой-либо аутентификации.

Анализ образцов вредоносного ПО выявил три различные категории угроз, все они взаимодействовали с командными серверами в Гонконге. Наиболее распространенным оказался троян Farfli, выполняющий функции загрузчика. Он распространялся через URL hxxp://151[.]242.152.91/setup.exe и был зафиксирован в 271 атаке. Контрольный сервер располагался по адресу 45[.]204.217.177.

Второй образец, троян Zenpak, доставлялся через hxxp://151[.]242.152.91/QBuumdHTX.exe и наблюдался в 146 случаях при взаимодействии с C2 43[.]250.174.250. Третья категория, вымогатель jqvtd, блокировавший доступ к данным, использовал URL hxxp://151[.]242.152.91/11.exe и был задействован в 55 атаках через сервер 43[.]225.58.92.

Атрибуция кампании указывает на единого скоординированного злоумышленника. Все образцы размещались по одному базовому URL, а связь с командными серверами неизменно осуществлялась через инфраструктуру в Гонконге. Географическое распределение атак показывает концентрацию на Северную Америку (43%) и Европу (32%), тогда как отраслевой анализ выявил наибольшую активность против технологического сектора (27%) и сферы образования (22%).

Для защиты Imperva рекомендует немедленно вывести из эксплуатации или изолировать серверы HFS 2.x, поскольку проект достиг конца жизненного цикла и обновления выпускаются только для версии 3.x. На сетевом уровне следует блокировать исходящие HTTP-запросы к неизвестным IP-адресам с серверов и отслеживать запросы, соответствующие шаблону эксплуатации search=.*%url%.*}{\.exec|. На уровне конечных точек критически важно ограничить возможности PowerShell с помощью Constrained Language Mode и поддерживать актуальную защиту от вредоносного ПО.

Данная кампания иллюстрирует устойчивую тенденцию: устаревшее общедоступное программное обеспечение становится легкой мишенью для массовых атак. Злоумышленникам не требуются zero-day уязвимости, если широко используемые системы годами остаются без обновлений. Организациям следует размещать сервисы временного обмена файлами за VPN или порталами с единой аутентификацией. Группа Threat Research продолжает мониторинг активности данной и других угроз, обеспечивая безопасность клиентов Imperva.

Индикаторы компрометации

IPv4

  • 154.219.123.25
  • 43.250.174.250
  • 45.204.217.177

Domains

  • www.sgke.cc

URLs

  • http://151.242.152.91/11.exe
  • http://151.242.152.91/QBuumdHTX.exe
  • http://151.242.152.91/setup.exe
  • http://154.219.123.25/HttpFileServer.exe
  • http://45.204.221.103/setup1.exe
  • http://45.204.221.103:7541/setup1.exe

SHA256

  • b84d55d8b37a1296a62af298b71f66fddb3ec6042161c5b2c9acd94f2c334c8c
  • d3b595483589b90f37422d8cc6d06b72d2bb1976dfddc83d44722c6ba0ca6d79
  • e82431c866c8c1d5cf26e627599cb87ed8929b580ccace973e7b32aa2bc13533
Комментарии: 0
Похожие записи
0
21.07.2025
Индикаторы компрометации

Злоумышленники использовали поддельный Python-пакет для кражи банковских карт: как устроена атака через PyPI

information security
В начале июля 2025 года в репозитории Python Package Index (PyPI) появился подозрительный пакет под названием *cloudscrapersafe*. На первый взгляд он выглядел как инструмент для обхода защиты Cloudflare
0
22.01.2025
Индикаторы компрометации

Clop Ransomware IOCs

security
Группа вымогателей Clop продолжает использовать уязвимости для атаки на важные системы. Компания Cleo, поставщик управляемой передачи файлов для предприятий, подверглась нападению Clop, и в центре внимания
0
04.07.2024
Индикаторы компрометации

Случаи атак на HTTP File Server (HFS) (CVE-2024-23692)

security
HTTP File Server (HFS) - это программное обеспечение, которое предоставляет простой тип веб-сервиса. Оно позволяет пользователям обмениваться файлами, подключаясь к адресу HFS через веб-браузеры и загружая файлы.