ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577)

ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577)

2024年6月11日 海外のセキュリティコンサルティング企業「Imperva 」が、ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性(CVE-2024-4577)を悪用し、ランサムウェア攻撃を行っている事を指摘しました。

2024年8月20日にシマンテックが別の脅威アクターが台湾の大学をサイバー攻撃を実施する際に、PHPの脆弱性(CVE-2024-4577)を悪用して新しいバックドア Msupedgeを確認したと発表しました。

ランサムウェア攻撃グループ「TellYouThePass」とは

TellYouThePassは2019 年から確認されているランサムウェアで、Windows と Linux の両方に対するサイバー攻撃キャンペーンで企業と個人をターゲットにしています。
一般的に CVE-2021-44228 (Apache Log4j) を活用しますが、CVE-2023-46604(Apache ActiveMQの脆弱性) などを使用していることも確認されています。

攻撃の概要

攻撃者は、PHPの脆弱性「CVE-2024-3577」を使用して、ターゲット のシステム上で任意の PHP コードを実行します。

そして実行コードを活用して「system」関数を使用し、mshta.exe バイナリを介して攻撃者が制御する Web サーバーでホストされている HTML アプリケーション ファイルを実行しました。

mshta.exe は、リモートペイロードを実行できるネイティブの Windows バイナリであり、攻撃者が「Living off the Land」と呼ばれるサイバー攻撃の手法で動作していることを示しています。

画像引用:Imperva 

Living off the Land(自給自足攻撃)とは

Living off the Land(自給自足攻撃)はマルウェアやエクスプロイトキットを利用せず、不正アクセスした先のセキュリティツールやOSに組み込まれた既存の機能などを悪用する攻撃を指します。

マルウェアや侵入用のカスタムツールを仕掛ける従来の攻撃手法とは異なり、悪性の動きを予測・検知できないため巧妙な攻撃手法です。

脆弱性:CVE-2024-4577の概要

CVE-2024-4577として追跡されているこの脆弱性は、Windows OSにインストールされているすべてのバージョンの PHP に影響を及ぼす CGI 引数インジェクションの脆弱性とされます。

この脆弱性 CVE-2024-4577により、別のセキュリティ上の欠陥CVE-2012-1823に対して導入された保護措置を回避できるようになり、繁体字中国語、簡体字中国語、または日本語のロケールを使用するように構成されている場合、

脆弱性を悪用する試みが検知

日本のリサーチャーの方もShodanを利用し、被害端末を調査したところ
被害が中国 308台、台湾 133台、日本30台と3カ国に集中しています。

また、シャドウ・サーバー財団も公式Xで、同財団が提供しているハニーポッドで

引用:Update: CVE-2024-4577 quickly weaponized to distribute “TellYouThePass” Ransomware

 

TOPへ