ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577)
2024年6月11日 海外のセキュリティコンサルティング企業「Imperva 」が、ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性(CVE-2024-4577)を悪用し、ランサムウェア攻撃を行っている事を指摘しました。
2024年8月20日にシマンテックが別の脅威アクターが台湾の大学をサイバー攻撃を実施する際に、PHPの脆弱性(CVE-2024-4577)を悪用して新しいバックドア Msupedgeを確認したと発表しました。
目次
ランサムウェア攻撃グループ「TellYouThePass」とは
TellYouThePassは2019 年から確認されているランサムウェアで、Windows と Linux の両方に対するサイバー攻撃キャンペーンで企業と個人をターゲットにしています。
一般的に CVE-2021-44228 (Apache Log4j) を活用しますが、CVE-2023-46604(Apache ActiveMQの脆弱性) などを使用していることも確認されています。
攻撃の概要
攻撃者は、PHPの脆弱性「CVE-2024-3577」を使用して、ターゲット のシステム上で任意の PHP コードを実行します。
そして実行コードを活用して「system」関数を使用し、mshta.exe バイナリを介して攻撃者が制御する Web サーバーでホストされている HTML アプリケーション ファイルを実行しました。
mshta.exe は、リモートペイロードを実行できるネイティブの Windows バイナリであり、攻撃者が「Living off the Land」と呼ばれるサイバー攻撃の手法で動作していることを示しています。
画像引用:Imperva
Living off the Land(自給自足攻撃)とは
Living off the Land(自給自足攻撃)はマルウェアやエクスプロイトキットを利用せず、不正アクセスした先のセキュリティツールやOSに組み込まれた既存の機能などを悪用する攻撃を指します。
マルウェアや侵入用のカスタムツールを仕掛ける従来の攻撃手法とは異なり、悪性の動きを予測・検知できないため巧妙な攻撃手法です。
脆弱性:CVE-2024-4577の概要
CVE-2024-4577として追跡されているこの脆弱性は、Windows OSにインストールされているすべてのバージョンの PHP に影響を及ぼす CGI 引数インジェクションの脆弱性とされます。
この脆弱性 CVE-2024-4577により、別のセキュリティ上の欠陥CVE-2012-1823に対して導入された保護措置を回避できるようになり、繁体字中国語、簡体字中国語、または日本語のロケールを使用するように構成されている場合、
Windows 上のすべての XAMPP インストールがデフォルトで脆弱であると警告しています。
脆弱性を悪用する試みが検知
日本のリサーチャーの方もShodanを利用し、被害端末を調査したところ
被害が中国 308台、台湾 133台、日本30台と3カ国に集中しています。
また、シャドウ・サーバー財団も公式Xで、同財団が提供しているハニーポッドで
この脆弱性をテストしている試みを観測したとして警告しています。
引用:Update: CVE-2024-4577 quickly weaponized to distribute “TellYouThePass” Ransomware