Dunia maya kembali dikejutkan dengan serangan siber yang mengincar HTTP File Server (HFS). Program ini sering digunakan untuk berbagi file secara online. Dengan hanya menjalankan satu file eksekusi, HFS memudahkan pengguna dalam mendistribusikan file. Namun, kemudahan ini juga membuka celah bagi para penyerang untuk menyusupkan program jahat.
Baru-baru ini, telah ditemukan sebuah kerentanan eksekusi kode jarak jauh yang dikenal sebagai CVE-2024-23692. Kerentanan ini mempengaruhi versi “HFS 2.3m”, yang saat ini masih banyak digunakan. Para penyerang dapat mengirim paket data berisi perintah jahat ke server HFS. Hal tersebut memungkinkan mereka untuk menginstal malware dan bahkan bisa mengambil alih kontrol sistem.
AhnLab yang dikenal sebagai pusat intelijen keamanan telah memantau serangan ini. Melalui infrastruktur AhnLab Smart Defense (ASD), serangan yang memanfaatkan kerentanan ini terdeteksi. Setelah berhasil menyusup, para penyerang menggunakan perintah untuk mengumpulkan informasi sistem. Mereka juga menambahkan akun backdoor untuk koneksi RDP dan menyembunyikannya.
Salah satu malware yang sering digunakan dalam serangan ini menggunakan CoinMiner XMRig. Malware ini akan menambang kriptokurensi Monero yang saat ini sangat diminati karena dianggap paling mudah untuk mendapatkan uang digital. LemonDuck, salah satu pelaku ancaman yang dikenal, telah mengeksploitasi berbagai kerentanan sejak 2019. Selain XMRig, ada juga XenoRAT dan skrip pemindai kerentanan yang terinstal.
Selain CoinMiners, berbagai malware jenis RAT dan backdoor juga terdeteksi. Misalnya, Gh0stRAT dan PlugX yang sering digunakan oleh penyerang berbahasa Mandarin. PlugX merupakan varian dari BackDoor.PlugX.38 yang disebutkan dalam laporan Dr. Web. PlugX mendukung berbagai plugin, namun tidak termasuk “KeyLog”, “Screen”, “ClipLog”, dan “RDP”.
GoThief adalah contoh lain dari serangan yang melibatkan malware berbeda. GoThief mencuri informasi menggunakan layanan Amazon AWS. Dikembangkan dalam bahasa Go, GoThief mengirimkan informasi yang dicuri ke server C&C lain.
Kesimpulannya, kerentanan CVE-2024-23692 pada program HFS telah menimbulkan serangkaian serangan. Pengguna HFS harus memastikan mereka menggunakan versi terbaru untuk menghindari serangan. AhnLab juga menyarankan pembaruan V3 untuk mencegah infeksi malware.
Sumber: Ahnlab