Rilevazione Attacco Ransomware TellYouThePass: Gli Hacker Sfruttano CVE-2024-4577 per Installare Web Shell e Diffondere Malware
Indice:
Gli operatori di ransomware TellYouThePass sono stati individuati dietro una nuova campagna avversaria che sfrutta la vulnerabilità PHP-CGI tracciata come CVE-2024-4577. Gli avversari sfruttano il difetto per caricare web shell e distribuire il ransomware TellYouThePass su istanze compromesse.
Rileva la campagna di ransomware TellYouThePass
Alla luce del nuovo bug PHP-CGI recentemente scoperto e rapidamente sfruttato per attacchi in-the-wild, facilitando la distribuzione del ransomware TellYouThePass, i professionisti della sicurezza devono affrontare proattivamente questa minaccia emergente. Per rilevare potenziali intrusioni di TellYouThePass nelle loro fasi iniziali, la SOC Prime Platform per la difesa cibernetica collettiva offre un set dedicato di regole Sigma.
Basta cliccare il Esplora Rilevamenti pulsante qui sotto e scendere immediatamente a fondo nella pila di rilevamento rilevante compatibile con oltre 30 tecnologie SIEM, EDR e Data Lake. Tutte le regole sono arricchite con CTI azionabile, accompagnate da estesometadati e mappate al framework MITRE ATT&CK® per facilitare l’indagine sulla minaccia.
Con gli operatori di TellYouThePass tra i primi a sfruttare il bug CVE-2024-4577 in campagne in corso, i difensori informatici potrebbero aspettarsi ulteriori tentativi di sfruttamento di questo difetto. Per rilevare gli exploit associati, utilizza una regola Sigma elencata di seguito.
Per coloro che cercano contenuti più curati riguardanti il caso d’uso del rilevamento delle vulnerabilità proattivo, la Piattaforma SOC Prime aggrega la più grande raccolta di algoritmi curati disponibili con questo link.
Analisi dell’attacco di ransomware TellYouThePass
Il team di ricerca sulle minacce di Imperva ha recentemente informato la comunità globale dei difensori cibernetici di attacchi in corso che sfruttano il difetto critico PHP noto come CVE-2024-4577 per infettare ulteriormente le istanze bersaglio con ransomware. Secondo la ricerca, l’attività avversaria è stata attiva dalla prima decade di giugno e può essere collegata alle operazioni di ransomware TellYouThePass.
TellYouThePass è una variante base di ransomware che è stata nella scena delle minacce cyber per mezzo decennio. Il ransomware ha fatto un ritorno, coincidiendo con lo sfruttamento delle vulnerabilità Log4j.
L’analisi di Imperva ha rivelato una serie di attacchi offensivi TellYouThePass mirati al caricamento di web shell e alla distribuzione di campioni dannosi su istanze impattate. Gli operatori di ransomware hanno sfruttato CVE-2024-3577 per eseguire codice PHP arbitrario sui dispositivi impattati. Hanno usato quest’ultimo per eseguire un file di applicazione HTML ospitato sul server web dell’avversario tramite il binario mshta.exe. Mshta.exe, un LOLBin di Windows nativo capace di eseguire payload remoti, suggerisce che gli attaccanti stiano adottando un approccio “living-off-the-land”. capable of executing remote payloads, suggests that the attackers are leveraging a “living-off-the-land” approach.
Il ransomware TellYouThePass sfruttato nella campagna più recente appare sotto forma di campioni .NET consegnati tramite applicazioni HTML. Il flusso d’infezione inizia con la consegna di un file HTA con lo script VB dannoso. Al momento dell’attivazione, il ransomware invia una richiesta HTTP al server C2, nascondendo i dettagli del dispositivo all’interno di quella che sembra essere una richiesta di risorse CSS per evitare il rilevamento. Genera anche una nota di riscatto “READ_ME10.html”, offrendo istruzioni per il recupero dei file.
Per mitigare i rischi di attacchi ransomware emergenti, i difensori raccomandano di rimanere costantemente vigili e di implementare tempestivamente le patch di vulnerabilità. Dato che gli attacchi in-the-wild che sfruttano CVE-2024-4577 potrebbero aver già esposto oltre 450K server PHP, principalmente ospitati negli Stati Uniti e in Germania, secondo le statistiche di Censys, è imperativo rafforzare la sicurezza aziendale. La suite completa di prodotti di SOC Prime per Engineering delle Rilevazioni alimentate dall’AI, Hunting Minacce Automatico e Validazione della Pila di Rilevamento serve come una soluzione tutto-in-uno per difendersi proattivamente contro minacce emergenti e persistenti e dotare la tua organizzazione di capacità difensive avanzate per contrastare gli avversari prima che colpiscano.
