CVE-2024-4577 TellYouThePass 랜섬웨어 그룹이 악용한 PHP 취약점

최근 확인된 PHP 취약점 (CVE-2024-4577)은 공개 직후 랜섬웨어 그룹의 악용 대상이 되었습니다. 사이버 보안 회사인 Imperva는 악용 추세를 강조하여 이 취약점이 Apache 및 PHP-CGI 구성을 사용하는 Windows 서버에 영향을 미친다는 사실을 밝혔습니다.

기본적으로 이 결함은 Windows의 '최적 맞춤' 동작에 대한 PHP의 감독으로 인해 특정 코드 페이지가 활성화된 경우 공격자가 인수를 삽입하고 임의의 코드를 실행할 수 있도록 허용합니다. 이 허점을 통해 특정 문자 시퀀스가 PHP 옵션으로 잘못 해석되어 승인되지 않은 코드가 실행될 가능성이 있습니다.

CVE-2024-4577의 영향은 8.0, 7, 5와 같은 이전 버전을 포함하여 Windows 시스템의 다양한 PHP 버전에 걸쳐 영향을 미치며, 패치 버전 8.1.29, 8.2.20 및 8.3이 출시되면서 PHP에서 신속한 조치를 취하게 되었습니다. 8. 그러나 Imperva에서 관찰한 바와 같이, PHP가 공개되고 패치가 출시된 지 며칠 만에 TellYouThePass 랜섬웨어 그룹이 취약한 서버를 악용하기 시작했습니다. 공격은 WebShell을 업로드하고 대상 시스템에 랜섬웨어를 배포하려는 시도를 포함하여 다각적이었습니다.

이러한 공격에서 위협 행위자는 '시스템' 기능을 활용하여 원격 서버에서 HTML 애플리케이션 파일의 실행을 시작하면서 손상된 시스템에서 임의의 PHP 코드를 실행했습니다. TellYouThePass 그룹이 배포한 랜섬웨어는 실행 시 메모리에 직접 로드되는 .NET 실행 파일입니다. C&C 서버와의 통신이 설정되면 악성코드는 디렉터리를 열거하고, 실행 중인 프로세스를 중단하고, 암호화 키를 생성하고, 특정 확장자를 가진 파일을 암호화합니다.

2019년부터 활동한 TellYouThePass 랜섬웨어 그룹은 기업과 개인 모두를 표적으로 삼은 역사를 가지고 있습니다. 이전 익스플로잇에는 Apache Log4j(CVE-2021-44228) 및 ActiveMQ(CVE-2023-46604)의 취약점을 활용하여 공격을 수행하는 것이 포함되었습니다. CVE-2024-4577을 악용하여 무기고에 또 다른 도구를 추가하여 널리 사용되는 소프트웨어 시스템의 취약점으로 인해 발생하는 지속적인 문제를 강조합니다.