TellYouThePass 勒索软件团伙一直在利用 PHP 中最近修补的 CVE-2024-4577 远程代码执行漏洞来传递 Webshell 并在目标系统上执行加密器负载。
攻击始于 6 月 8 日,即 PHP 维护人员发布安全更新后不到 48 小时,并依赖于公开的漏洞代码。
TellYouThePass 勒索软件以快速利用公开漏洞并造成广泛影响而闻名。去年 11 月,他们利用 Apache ActiveMQ RCE 进行攻击,2021 年 12 月,他们利用 Log4j 漏洞 攻击公司。
在网络安全公司 Imperva 的研究人员发现的最新攻击中,TellYouThePass 利用严重性级别为 CVE-2024-4577 的漏洞执行任意 PHP 代码,并使用 Windows mshta.exe 二进制文件运行恶意 HTML 应用程序 (HTA) 文件。
Imperva 的研究人员解释说,该文件包含带有 base64 编码字符串的 VBScript,该字符串可解码为二进制文件,从而将勒索软件的 .NET 变体加载到主机的内存中。
执行后,恶意软件会将 HTTP 请求发送到伪装成 CSS 资源请求的命令和控制 (C2) 服务器,并加密受感染机器上的文件。
然后,它会放置一张勒索信“READ_ME10.html”,其中包含受害者如何恢复文件的说明。
BleepingComputer 论坛上的用户帖子 表明,TellYouThePass 攻击自 6 月 8 日以来就已造成人员伤亡,赎金通知要求以 0.1 BTC(约 6,700 美元)作为解密密钥。
一位拥有加密网站的计算机的用户发现,TellYouThePass 勒索软件活动已经影响了多个网站。
CVE-2024-4577 是一个严重的 RCE 漏洞,影响自 5.x 以来的所有 PHP 版本。它源于在 Windows 上以 CGI 模式使用时不安全的字符编码转换。
该漏洞于 5 月 7 日由 Devcore 的 Orange Tsai 发现,并报告给 PHP 团队。6月 6 日,随着 PHP 版本 8.3.8、8.2.20 和 8.1.29 的发布,该漏洞得到了修复。
周五,即补丁发布后的第二天,WatchTowr Labs 发布了针对 CVE-2024-4557 的概念验证 (PoC)漏洞代码。同一天,Shadowserver 基金会 在其蜜罐上观察到了漏洞利用尝试。
根据 Censys 昨日的报告,有超过 450,000 台暴露的 PHP 服务器可能受到 CVE-2024-4577 RCE 漏洞的攻击,其中大部分位于美国和德国。
Wiz 云安全初创公司对其中有多少实例可能存在漏洞给出了更具体的估计,认为这个数字约为 34%。
信息来源:BleepingComputer
原文始发于微信公众号(犀牛安全):TellYouThePass 勒索软件利用最近的 PHP RCE 漏洞入侵服务器
