TellYouThePass 勒索软件组织利用 CVE-2024-4577 PHP 漏洞

最近发现的 PHP漏洞（编号为 CVE-2024-4577）在披露后不久就成为勒索软件组织利用的目标。网络安全公司 Imperva 重点介绍了这一利用趋势，并透露该漏洞会影响使用 Apache 和 PHP-CGI 配置的 Windows 服务器。

本质上，由于 PHP 忽视了 Windows 的“最佳匹配”行为，该漏洞允许攻击者在启用某些代码页时注入参数并执行任意代码。此漏洞允许将特定字符序列误解为 PHP 选项，从而可能导致执行未经授权的代码。

CVE-2024-4577 的影响范围涵盖 Windows 系统上的各种 PHP 版本，包括 8.0、7 和 5 等旧版本，促使 PHP 迅速采取行动，发布修补版本 8.1.29、8.2.20 和 8.3.8。然而，据 Imperva 观察，在 PHP 披露和修补程序发布后的几天内， TellYouThePass 勒索软件组织开始利用易受攻击的服务器。攻击是多方面的，包括尝试上传 WebShell 并将勒索软件部署到目标系统上。

在这些攻击中，威胁者在受感染的机器上执行任意 PHP 代码，利用“系统”功能从远程服务器启动 HTML 应用程序文件的执行。TellYouThePass 组织部署的勒索软件是一个 .NET 可执行文件，在执行时直接加载到内存中。在与其命令和控制服务器建立通信后，恶意软件会继续枚举目录、停止正在运行的进程、生成加密密钥并使用特定扩展名加密文件。

TellYouThePass 勒索软件组织自 2019 年以来一直活跃，曾多次针对企业和个人发起攻击。此前的攻击包括利用 Apache Log4j (CVE-2021-44228) 和 ActiveMQ (CVE-2023-46604) 中的漏洞发动攻击。通过利用 CVE-2024-4577，他们为其武器库添加了另一种工具，突显了广泛使用的软件系统中的漏洞所带来的持续挑战。