Détection de l’Attaque par Ransomware TellYouThePass : Les Hackers Exploitent la CVE-2024-4577 pour Installer des Web Shells et Déployer des Logiciels Malveillants

[post-views]
juin 13, 2024 · 4 min de lecture
Détection de l’Attaque par Ransomware TellYouThePass : Les Hackers Exploitent la CVE-2024-4577 pour Installer des Web Shells et Déployer des Logiciels Malveillants

Les opérateurs du ransomware TellYouThePass ont été repérés derrière une nouvelle campagne malveillante exploitant la vulnérabilité PHP-CGI suivie sous le nom de CVE-2024-4577. Les adversaires exploitent le défaut pour télécharger des web shells et distribuer le ransomware TellYouThePass sur des instances compromises.

Détecter la campagne de ransomware TellYouThePass

À la lumière du nouveau bug PHP-CGI récemment découvert et rapidement exploité pour des attaques in-the-wild, facilitant la distribution du ransomware TellYouThePass, les professionnels de la sécurité doivent aborder de manière proactive cette menace émergente. Pour détecter les intrusions potentielles de TellYouThePass dès leurs premiers stades, la Plateforme SOC Prime pour la défense cyber collective fournit un ensemble dédié de règles Sigma.

Appuyez simplement sur le bouton Explorer les Détections ci-dessous et accédez immédiatement à la pile de détection pertinente compatible avec plus de 30 technologies SIEM, EDR et Data Lake. Toutes les règles sont enrichies avec du CTI exploitable, accompagnées d’une métadonnée étendue, et mappées au cadre MITRE ATT&CK® pour faciliter l’enquête sur les menaces.

Explorer les Détections

Avec les opérateurs de TellYouThePass étant parmi les premiers à exploiter le bug CVE-2024-4577 dans les campagnes en cours, les défenseurs cyber peuvent s’attendre à d’autres tentatives d’exploitation de ce défaut. Pour détecter les exploits associés, utilisez une règle Sigma listée ci-dessous. 

Tentative possible d’exploitation CVE-2024-4577 (Exécution de Code à Distance PHP) (via serveur web)

Pour ceux qui recherchent plus de contenu ciblé abordant le cas d’utilisation de la Détection Proactive de Vulnérabilités, la Plateforme SOC Prime agrège la plus grande collection d’algorithmes certifiés disponible avec ce lien.

Analyse de l’Attaque du Ransomware TellYouThePass

L’équipe de recherche sur les menaces d’Imperva a récemment averti la communauté mondiale des défenseurs cyber des attaques en cours exploitant la faille critique PHP connue sous le nom de CVE-2024-4577 pour infecter davantage les instances cibles avec le ransomware. Selon la recherche, l’activité de l’adversaire est active depuis la première décennie de juin et peut être liée aux opérations de ransomware TellYouThePass.

TellYouThePass est une souche de ransomware basique qui existe dans l’arène des menaces cyber depuis une demi-décennie. Le ransomware est réapparu, coïncidant avec l’exploitation des vulnérabilités Log4j.

L’analyse d’Imperva a découvert un ensemble d’attaques offensives de TellYouThePass visant à télécharger des web shells et à distribuer des échantillons malveillants sur des instances affectées. Les opérateurs de ransomware ont exploité CVE-2024-3577 pour exécuter du code PHP arbitraire sur les appareils impactés. Ils ont utilisé ces derniers pour exécuter un fichier d’application HTML hébergé sur le serveur web de l’adversaire via le binaire mshta.exe. Mshta.exe, un LOLBin natif de Windows, capable d’exécuter des charges utiles à distance, suggère que les attaquants utilisent une approche « living-off-the-land ». Le ransomware TellYouThePass exploité dans la campagne la plus récente apparaît sous forme d’échantillons .NET livrés via des applications HTML. Le flux d’infection commence par la livraison d’un fichier HTA avec le VBScript malveillant. À l’activation, le ransomware envoie une requête HTTP au serveur C2, cachant les détails de l’appareil dans ce qui semble être une requête pour des ressources CSS afin d’échapper à la détection. Il génère également une note de rançon « READ_ME10.html », fournissant des instructions pour récupérer les fichiers.

The TellYouThePass ransomware leveraged in the most recent campaign appears in the form of .NET samples delivered via HTML applications. The infection flow begins with the delivery of an HTA file with the malicious VBScript. Upon activation, the ransomware sends an HTTP request to the C2 server, concealing device details within what appears to be a request for CSS resources to evade detection. It also generates a « READ_ME10.html » ransom note, offering instructions for recovering files.

Pour atténuer les risques d’attaques de ransomware émergentes, les défenseurs recommandent de rester constamment vigilants et de mettre en Å“uvre rapidement les correctifs de vulnérabilités. Étant donné que les attaques in-the-wild exploitant CVE-2024-4577 pourraient avoir déjà exposé plus de 450K serveurs PHP, principalement hébergés aux États-Unis et en Allemagne, selon les statistiques de Censys, il est impératif de renforcer la sécurité des entreprises. Le ensemble complet de produits de SOC Prime pour l’Ingénierie de Détection alimentée par l’IA, la Chasse aux Menaces Automatisée, et la Validation de Pile de Détection sert de solution tout-en-un pour défendre de manière proactive contre les menaces émergentes et persistantes et équiper votre organisation avec des capacités défensives avancées pour perturber les adversaires avant qu’ils ne frappent.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Blog, Dernières Menaces — 5 min de lecture
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Veronika Telychko
Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants
Blog, Dernières Menaces — 5 min de lecture
Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants
Veronika Telychko
Détection de Porte Dérobée TorNet : Une Campagne de Phishing en Cours Utilise le Malware PureCrypter pour Disséminer d’Autres Charges
Blog, Dernières Menaces — 6 min de lecture
Détection de Porte Dérobée TorNet : Une Campagne de Phishing en Cours Utilise le Malware PureCrypter pour Disséminer d’Autres Charges
Veronika Telychko