HTTP File Server (HFS) - это программное обеспечение, которое предоставляет простой тип веб-сервиса. Оно позволяет пользователям обмениваться файлами, подключаясь к адресу HFS через веб-браузеры и загружая файлы. Однако, поскольку HFS является открытым программным обеспечением, он подвержен возможным уязвимостям и может стать целью внешних атак.
Одной из таких уязвимостей является уязвимость удаленного выполнения кода (CVE-2024-23692), которая была обнаружена в HFS в мае 2024 года. С помощью этой уязвимости злоумышленник может отправить пакеты с вредоносными командами на сервер HFS и выполнить их. Особенно опасно то, что уязвимость затрагивает версию "HFS 2.3m", которая широко используется.
После обнаружения уязвимости был создан Proof of Concept (PoC), с помощью которого злоумышленник может удаленно отправлять пакеты с командами на HFS и установить вредоносное ПО или получить контроль над системой. Антивирусная лаборатория AhnLab Security Intelligence Center (ASEC) обнаружила атаки, использующие уязвимость, и установление вредоносного ПО на сервера HFS. После проникновения злоумышленники собирали информацию о системе с помощью команд "whoami" или "arp" и создавали учетные записи бэкдоров для дальнейшего доступа.
Некоторые из вредоносных программ, обнаруженных в атаках, включают CoinMiner, такие как XMRig, которые добывают криптовалюту Monero. LemonDuck, известный злоумышленник, был одним из атакующих на HFS. Кроме того, были обнаружены и другие вредоносные программы типа бэкдор, такие как Gh0stRAT, PlugX, Cobalt Strike и Netcat. Особый интерес вызывает вредоносная программа GoThief, которая использует Amazon AWS для кражи информации с зараженных систем.
В целом, обнаружение уязвимости в HFS привело к возникновению атак, которые включают установку вредоносного ПО, кражу информации и получение удаленного доступа к зараженным системам. При этом большинство атак проводят злоумышленники, говорящие на китайском языке. Организации и пользователи HFS должны быть особенно внимательны и принимать меры защиты, чтобы предотвратить такие атаки и обезопасить свои системы.
Indicators of Compromise
IPv4 Port Combinations
- 154.201.87.185:999
- 164.155.205.99:999
URLs
- http://121.204.249.123/2345.exe
- http://121.204.249.123:8077/systeminfo.exe
- http://185.173.93.167:13306/Roboform.dll
- http://185.173.93.167:13306/WindowsWatcher.key
- http://188.116.22.65:5000/submit
- https://imgdev.s3.eu-west-3.amazonaws.com/dev/20210623/conost.exe
- support.firewallsupportservers.com:80/443/53/8080
MD5
- 4383b1ea54a59d27e5e6b3122b3dadb2
- 6adaeb6543955559c05a9de8f92d1e1d
- 77970a04551636cc409e90d39bbea931
- 8f0071027d513867feb3eb8943ccaf05
- ce7dc5df5568a79affa540aa86b24773
