TellYouThePass ransomware exploits recent PHP RCE flaw to breach servers

TellYouThePassランサムウェアの一団は、最近パッチが適用されたPHPのリモートコード実行の脆弱性CVE-2024-4577を悪用し、標的のシステム上でウェブシェルを配信し、暗号化ペイロードを実行している。

攻撃は6月8日、PHPのメンテナによるセキュリティアップデートのリリースから48時間も経たないうちに開始され、公開されているエクスプロイトコードに依存していました。

TellYouThePassランサムウェアは、広範囲に影響を及ぼす脆弱性の公開エクスプロイトに素早く飛びつくことで知られている。昨年11月の攻撃ではApache ActiveMQ RCEを使用し、2021年12月にはLog4jエクスプロイトを採用して企業に侵入した。

サイバーセキュリティ企業Impervaの研究者によって発見された最新の攻撃では、TellYouThePassは、Windowsのmshta.exeバイナリを使用して悪意のあるHTMLアプリケーション(HTA)ファイルを実行し、任意のPHPコードを実行するためにクリティカルセキュリティバグCVE-2024-4577を悪用しています。

Malicious HTA file
悪意のある HTA ファイル
Source:Imperva

このファイルには、Base64エンコードされた文字列を持つVBScriptが含まれており、この文字列がデコードされてバイナリとなり、ランサムウェアの.NET亜種がホストのメモリにロードされると、Impervaの研究者は説明しています。

VBScript injects the payload into memory
VBScriptがペイロードをメモリに注入
Source:Imperva

実行されると、マルウェアはCSSリソースリクエストを装ったコマンド・アンド・コントロール(C2)サーバーにHTTPリクエストを送信し、感染したマシン上のファイルを暗号化します。

その後、ファイルを復元する方法を被害者に指示する身代金要求書「READ_ME10.html」が置かれます。

フォーラムへのユーザー投稿によると、TellYouThePass攻撃は6月8日以来被害者を出しており、身代金要求書には復号キーとして0.1BTC(約6,700円)が要求されている。

ウェブサイトをホストしているコンピュータが暗号化されたあるユーザーは、TellYouThePassランサムウェアキャンペーンが複数のウェブサイトに影響を及ぼしていることを発見した。

修正直後に悪用されたバグ

CVE-2024-4577は、5.x以降の全てのPHPバージョンに影響する、重大なRCEの脆弱性です。この脆弱性は、CGIモードで使用された際の、Windows上での安全でない文字エンコーディング変換に起因しています。

この脆弱性は5月7日にDevcoreのOrange Tsaiによって発見され、PHPチームに報告されました。修正パッチは6月6日、PHPバージョン8.3.8、8.2.20、8.1.29のリリースとともに提供された。

パッチの翌日の金曜日、WatchTowr LabsはCVE-2024-4557の概念実証(PoC)エクスプロイトコードを公開した。同日、The Shadowserver Foundationは、彼らのハニーポットで悪用の試みを観測した。

tweet

昨日Censysが発表したレポートによると、CVE-2024-4577 RCE脆弱性の可能性があるPHPサーバーは45万台以上あり、そのほとんどが米国とドイツに存在するという。

クラウド・セキュリティ・スタートアップのWizは、これらのインスタンスのうち何台が脆弱である可能性があるかについて、より具体的な推定を行い、その数を約34%としている。