TellYouThePassランサムウェア攻撃検出：ハッカーがCVE-2024-4577を悪用してWebシェルをインストールしマルウェアを仕込む

TellYouThePassランサムウェアのオペレーターが、PHP-CGIの脆弱性を利用した新しい攻撃キャンペーンの背後にいることが確認されています。この脆弱性は CVE-2024-4577として追跡されています。攻撃者はこの欠陥を利用してウェブシェルをアップロードし、侵害されたインスタンスにTellYouThePassランサムウェアを配布します。

TellYouThePassランサムウェアキャンペーンの検出

新たに明らかになったPHP-CGIのバグが迅速に武器化され、TellYouThePassランサムウェアを配布するための現実世界の攻撃を助長しているため、セキュリティ専門家はこの新たな脅威に積極的に対応する必要があります。その他、先を見越した対応に必要な SOC Primeプラットフォーム のサイバー防御のための集合的なサイバー防御には、Sigmaルールの専用セットが提供されています。

以下の 検出を探索 ボタンをクリックすると、即座に30以上のSIEM、EDR、データレイク技術に対応する関連検出スタックにアクセスできます。全てのルールにはアクション可能なCTIが豊富に付与されており、広範なメタデータが付随し、 MITRE ATT&CK®フレームワーク にマッピングされて脅威の調査がスムーズに行えるようになっています。

検出を探索

TellYouThePassのオペレーターはCVE-2024-4577のバグを継続的に活用する最初のグループの一つであり、サイバー防御者は今後のこの脆弱性の武器化試みが増えることを想定すべきです。関連するエクスプロイトの検出には、以下のSigmaルールを使用してください。 

可能性のあるCVE-2024-4577（PHPリモートコード実行）エクスプロイト試み（ウェブサーバ経由）

先見的な脆弱性検出の使用ケースを扱うより選別されたコンテンツを求める人々には、SOC Primeプラットフォームが選り抜きのアルゴリズムを最大のコレクションとして集積しています。 このリンク.

TellYouThePassランサムウェア攻撃解析

Impervaの脅威研究チームは最近、 PHPの重大な欠陥を武器化した継続的な攻撃 として知られるCVE-2024-4577を利用して、ターゲットインスタンスにさらなるランサムウェア感染を引き起こすことを世界中のサイバー防衛コミュニティーに通知しました。研究によれば、この敵対活動は6月初旬から活発化しており、TellYouThePassランサムウェアの運用と関連付けることができます。

TellYouThePassは半十年もの間サイバー脅威の領域に存在する基本的なランサムウェア系統であり、 Log4jの脆弱性.

の悪用と同時に復活しました。Impervaの解析は、影響を受けたインスタンスにウェブシェルをアップロードし悪意あるサンプルを配布することを目的とした一連の攻撃でTellYouThePassを発見しました。ランサムウェアのオペレーターはCVE-2024-3577を悪用し、影響を受けたデバイスで任意のPHPコードを実行しました。彼らは後者を使用して、mshta.exeバイナリを介して攻撃者のウェブサーバー上でホストされるHTMLアプリケーションファイルを実行しました。Mshta.exeはネイティブWindowsの LOLBin として、リモートペイロードの実行が可能であることから、攻撃者が「生活の上に築かれた」攻撃手法を採っていることを示唆しています。

最近のキャンペーンで利用されたTellYouThePassランサムウェアは、HTMLアプリケーション経由で配布される.NETサンプルとして現れる感染フローです。このフローは悪意のあるVBScriptがローディングされるHTAファイルのデリバリーから始まり、アクティベーション時にランサムウェアがC2サーバーにHTTPリクエストを送り、CSSリソースの要求であるかのようにマスクしてデバイス詳細を隠して検出を回避します。また、「READ_ME10.html」身代金ノートを生成し、ファイル復旧の手順を提示します。

新たに出現するランサムウェア攻撃のリスクを軽減するため、防御者は常に警戒心を持ち、脆弱性パッチングを適時に実施することが推奨されます。CVE-2024-4577を利用した現実世界の攻撃がすでに 45万以上のPHPサーバを露出させた可能性があり、主に米国とドイツにホストされているとCensysの統計は示しています。企業のセキュリティを強化することが急務です。SOC Primeの 完全な製品スイート は、AI駆動の検出エンジニアリング、自動化された脅威ハンティング、検出スタックの検証を可能にし、出現する持続的な脅威に対抗するための包括的なソリューションを提供し、組織を事前に守り攻撃を仕掛ける前に敵を挫く先進的な防御能力を装備します。