Η συμμορία ransomware TellYouThePass εκμεταλλεύεται την ευπάθεια απομακρυσμένης εκτέλεσης κώδικα CVE-2024-4577 που έχει επιδιορθωθεί πρόσφατα στην
PHP
για να παραδώσει κελύφη ιστού και να εκτελέσει το ωφέλιμο φορτίο του κρυπτογραφητή σε συστήματα-στόχους.
Οι επιθέσεις ξεκίνησαν στις 8 Ιουνίου, λιγότερο από 48 ώρες μετά την κυκλοφορία των ενημερώσεων ασφαλείας από τους συντηρητές της PHP, και βασίστηκαν σε δημόσια διαθέσιμο κώδικα εκμετάλλευσης.
Το ransomware TellYouThePass είναι γνωστό για τη γρήγορη άλμα σε δημόσια εκμετάλλευση για τρωτά σημεία με μεγάλο αντίκτυπο. Τον περασμένο Νοέμβριο χρησιμοποίησαν ένα Apache ActiveMQ RCE σε επιθέσεις και τον Δεκέμβριο του 2021 υιοθέτησαν την εκμετάλλευση Log4j για να παραβιάσουν εταιρείες.
Στις τελευταίες επιθέσεις που εντοπίστηκαν από ερευνητές στην εταιρεία κυβερνο
ασφάλεια
ς Imperva, το TellYouThePass εκμεταλλεύεται το σφάλμα κρίσιμης σοβαρότητας CVE-2024-4577 για να εκτελέσει αυθαίρετο κώδικα PHP, χρησιμοποιώντας το δυαδικό αρχείο mshta.exe των Windows για να εκτελέσει ένα κακόβουλο αρχείο εφαρμογής HTML (HTA).
Κακόβουλο αρχείο HTA
Πηγή: Imperva
Αυτό το αρχείο περιέχει VBScript με μια συμβολοσειρά με κωδικοποίηση base64 που αποκωδικοποιείται σε δυαδικό αρχείο, φορτώνοντας μια παραλλαγή .NET του ransomware στη
μνήμη
του κεντρικού υπολογιστή, Imperva
εξηγούν οι ερευνητές
.
Το VBScript εισάγει το ωφέλιμο φορτίο στη μνήμη
Πηγή: Imperva
Κατά την εκτέλεση, το κακόβουλο λογισμικό στέλνει ένα αίτημα HTTP σε έναν διακομιστή εντολών και ελέγχου (C2) που είναι μεταμφιεσμένος ως αίτημα πόρου CSS και κρυπτογραφεί τα αρχεία στο μολυσμένο μηχάνημα.
Στη συνέχεια, τοποθετεί μια σημείωση λύτρων, “READ_ME10.html”, με οδηγίες για το θύμα σχετικά με τον τρόπο επαναφοράς των αρχείων του.
Οι αναρτήσεις χρηστών στο φόρουμ BleepingComputer δείχνουν ότι οι επιθέσεις TellYouThePass έχουν θύματα από τις 8 Ιουνίου και το σημείωμα λύτρων απαιτούσε 0,1 BTC (περίπου 6.700 $) για το κλειδί αποκρυπτογράφησης.
Ένας χρήστης που είχε έναν υπολογιστή που φιλοξενούσε τον ιστότοπό του κρυπτογραφημένο διαπίστωσε ότι η καμπάνια ransomware TellYouThePass είχε επηρεάσει πολλούς ιστότοπους.
Το σφάλμα έγινε αντικείμενο εκμετάλλευσης λίγο μετά τη διόρθωση
Το CVE-2024-4577 είναι μια κρίσιμη ευπάθεια RCE που επηρεάζει όλες τις εκδόσεις PHP από το 5.x. Προέρχεται από μη ασφαλείς μετατροπές κωδικοποίησης χαρακτήρων στα Windows όταν χρησιμοποιούνται σε λειτουργία CGI.
Η ευπάθεια ανακαλύφθηκε στις 7 Μαΐου από τον Orange Tsai του Devcore, ο οποίος το ανέφερε στην ομάδα της PHP. Μια ενημέρωση κώδικα παραδόθηκε στις 6 Ιουνίου με την κυκλοφορία των εκδόσεων PHP 8.3.8, 8.2.20 και 8.1.29.
Την
Παρασκευή
, μια μέρα μετά την ενημέρωση, η WatchTowr Labs κυκλοφόρησε το proof-of-concept (PoC)
κωδικός εκμετάλλευσης για CVE-2024-4557
. Την ίδια μέρα, The Shadowserver Foundation
παρατηρήθηκαν απόπειρες εκμετάλλευσης
στις γλάστρες τους.
Σύμφωνα με δημοσίευμα της Censys χθες, υπάρχουν περισσότερα από
450.000 εκτεθειμένοι διακομιστές PHP
που θα μπορούσε να είναι ευάλωτο στην ευπάθεια CVE-2024-4577 RCE, τα περισσότερα από αυτά βρίσκονται στις
Ηνωμένες Πολιτείες
και τη Γερμανία.
Η εκκίνηση ασφαλείας του Wiz cloud έδωσε μια πιο συγκεκριμένη εκτίμηση για το πόσες από αυτές τις περιπτώσεις μπορεί να είναι ευάλωτες, τοποθετώντας τον αριθμό σε
περίπου 34%
.
VIA:
bleepingcomputer.com
0