TellYouThePass 勒索軟體組織利用 CVE-2024-4577 PHP 漏洞

最近發現的 PHP漏洞（編號為 CVE-2024-4577）在披露後不久就成為勒索軟體組織利用的目標。網路安全公司 Imperva 強調了利用趨勢，揭示該漏洞影響使用 Apache 和 PHP-CGI 配置的 Windows 伺服器。

從本質上講，由於 PHP 對 Windows 的「最佳匹配」行為的監督，該缺陷允許攻擊者在啟用某些程式碼頁時注入參數並執行任意程式碼。此漏洞允許特定字元序列被誤解為 PHP 選項，從而可能導致執行未經授權的程式碼。

CVE-2024-4577 的影響涵蓋 Windows 系統上的各個 PHP 版本，包括 8.0、7 和 5 等舊版本，促使 PHP 迅速採取行動，發布了修補版本 8.1.29、8.2.20 和 8.3。然而，正如 Imperva 所觀察到的，在 PHP 披露和修補程式發布後的幾天內， TellYouThePass 勒索軟體組織就開始利用易受攻擊的伺服器。這些攻擊是多方面的，包括嘗試上傳 WebShell 並將勒索軟體部署到目標系統上。

在這些攻擊中，威脅參與者在受感染的電腦上執行任意 PHP 程式碼，利用「系統」功能從遠端伺服器啟動 HTML 應用程式檔案的執行。 TellYouThePass 組織部署的勒索軟體是一個 .NET 可執行文件，在執行時直接載入到記憶體中。在與其命令和控制伺服器建立通訊後，惡意軟體將繼續枚舉目錄、停止正在運行的進程、產生加密金鑰以及加密具有特定副檔名的檔案。

TellYouThePass 勒索軟體組織自 2019 年以來一直活躍，一直以來針對企業和個人。先前的漏洞包括利用 Apache Log4j (CVE-2021-44228) 和 ActiveMQ (CVE-2023-46604) 中的漏洞進行攻擊。透過利用 CVE-2024-4577，他們在自己的武器庫中添加了另一個工具，強調了廣泛使用的軟體系統中的漏洞所帶來的持續挑戰。