TellYouThePass Ransomware-Angriffserkennung: Hacker nutzen CVE-2024-4577 zur Installation von Web-Shells und Abwurf von Malware
Inhaltsverzeichnis:
Die Betreiber des TellYouThePass-Ransomware wurden hinter einer neuartigen Gegnerkampagne entdeckt, die die als CVE-2024-4577 verfolgte PHP-CGI-Schwachstelle ausnutzt CVE-2024-4577. Gegner nutzen die Schwachstelle aus, um Web-Shells hochzuladen und die TellYouThePass-Ransomware auf kompromittierten Instanzen zu verbreiten.
Erkennung der TellYouThePass-Ransomware-Kampagne
Angesichts des neu entdeckten PHP-CGI-Fehlers, der schnell für Angriffe in freier Wildbahn ausgenutzt wird und die Verbreitung von TellYouThePass-Ransomware erleichtert, müssen Sicherheitsfachleute proaktiv auf diese aufkommende Bedrohung reagieren. Um potenzielle TellYouThePass-Einbrüche in ihren frühesten Stadien zu erkennen, bietet die SOC Prime-Plattform für kollektiven Cyberschutz einen speziellen Satz von Sigma-Regeln.
Klicken Sie einfach auf die Schaltfläche Erkennungen erkunden unten und tauchen Sie sofort tief in den relevanten Erkennungsstapel ein, der mit mehr als 30 SIEM-, EDR- und Data-Lake-Technologien kompatibel ist. Alle Regeln sind mit umsetzbaren CTI angereichert, mit umfassenden Metadaten versehen und auf das MITRE ATT&CK® Framework abgebildet, um die Bedrohungsuntersuchung zu erleichtern.
Da die Betreiber von TellYouThePass zu den ersten gehören, die den CVE-2024-4577-Fehler in laufenden Kampagnen ausnutzen, könnten Cyberverteidiger weitere Ausnutzungsversuche dieser Schwachstelle erwarten. Verwenden Sie die unten aufgeführte Sigma-Regel, um verbundene Exploits zu erkennen.Â
Möglicher CVE-2024-4577 (PHP Remote Code Execution) Exploit-Versuch (über Webserver)
Für diejenigen, die nach mehr kuratiertem Inhalt für den Anwendungsfall der proaktiven Schwachstellenerkennung suchen, aggregiert die SOC Prime-Plattform die größte Sammlung kuratierter Algorithmen, verfügbar unter diesem Link.
Analyse des TellYouThePass-Ransomware-Angriffs
Das Imperva Threat Research Team hat kürzlich die globale Cyberabwehrer-Community über laufende Angriffe informiert, die die kritische PHP-Schwachstelle ausnutzen bekannt als CVE-2024-4577, um die Zielinstanzen weiter mit Ransomware zu infizieren. Laut der Forschung ist die gegnerische Aktivität seit der ersten Juni-Dekade aktiv und kann mit den TellYouThePass-Ransomware-Operationen in Verbindung gebracht werden.
TellYouThePass ist ein grundlegender Ransomware-Stamm, der seit einem halben Jahrzehnt in der Cyber-Bedrohungsszene präsent ist. Die Ransomware ist mit der Ausnutzung von Log4j-Schwachstellen.
wieder aufgetaucht. Die Analyse von Imperva deckte eine Reihe von offensiven TellYouThePass-Angriffen auf, die darauf abzielen, Web-Shells hochzuladen und bösartige Samples auf betroffene Instanzen zu verteilen. Die Ransomware-Betreiber nutzten CVE-2024-3577 aus, um beliebigen PHP-Code auf den betroffenen Geräten auszuführen. Sie nutzten Letzteres, um eine HTML-Anwendungsdatei auszuführen, die über den mshta.exe-Befehl auf dem gegnerischen Webserver gehostet wird. Mshta.exe, ein nativer Windows LOLBin der in der Lage ist, Remote-Payloads auszuführen, deutet darauf hin, dass die Angreifer einen „Living-off-the-Land“-Ansatz verfolgen.
Die in der jüngsten Kampagne eingesetzte TellYouThePass-Ransomware erscheint in Form von .NET-Samples, die über HTML-Anwendungen geliefert werden. Der Infektionsverlauf beginnt mit der Lieferung einer HTA-Datei mit bösartigem VBScript. Nach der Aktivierung sendet die Ransomware eine HTTP-Anfrage an den C2-Server, wobei Geräteinformationen in einer scheinbar für CSS-Ressourcen bestimmten Anfrage versteckt werden, um einer Erkennung zu entgehen. Außerdem generiert sie eine „READ_ME10.html“-Lösegeldforderung, die Anweisungen zur Wiederherstellung der Dateien bietet.
Um die Risiken aufkommender Ransomware-Angriffe zu mindern, wird Verteidigern empfohlen, ständig wachsam zu bleiben und zeitnah Schwachstellen-Patches zu implementieren. Da Angriffe in freier Wildbahn mit CVE-2024-4577 möglicherweise bereits über 450K PHP-Server exponiert haben, die hauptsächlich in den USA und Deutschland gehostet werden, laut Censys-Statistiken, ist es entscheidend, die Sicherheit der Unternehmen zu stärken. Das vollständige Produktangebot von SOC Prime für KI-gestütztes Detection Engineering, automatisierte Bedrohungsjagd und Validierung von Erkennungsstapeln dient als All-in-One-Lösung, um proaktiv gegen neu auftretende und hartnäckige Bedrohungen zu verteidigen und Ihr Unternehmen mit fortschrittlichen Verteidigungsfähigkeiten auszustatten, um Gegner zu stören, bevor sie zuschlagen.
