TellYouThePass 랜섬웨어 공격 탐지: 해커들이 CVE-2024-4577을 악용하여 웹 셸 설치 및 멀웨어 투하

TellYouThePass 랜섬웨어 운영자들이 PHP-CGI 취약점으로 추적된 새로운 적대 캠페인인 CVE-2024-4577을 활용하여 발견되었습니다. 적들은 이 결함을 무기화하여 웹 셸을 업로드하고 감염된 인스턴스에 TellYouThePass 랜섬웨어를 배포합니다.

TellYouThePass 랜섬웨어 캠페인 탐지

새로 밝혀진 PHP-CGI 버그가 야외 공격을 위해 빠르게 무기화되어 TellYouThePass 랜섬웨어 배포를 촉진함에 따라 보안 전문가들은 이 신종 위협에 적극적으로 대응해야 합니다. 잠재적인 TellYouThePass 침입을 가장 초기에 탐지하기 위해, SOC Prime 플랫폼 은 집단적인 사이버 방어를 위해 Sigma 규칙의 전용 세트를 제공합니다.

아래의 탐지 목록 조회 버튼을 클릭하면 30개 이상의 SIEM, EDR 및 데이터 레이크 기술과 호환되는 관련 탐지 스택으로 즉시 드릴다운할 수 있습니다. 모든 규칙은 실행 가능한 CTI로 풍부하게 제공되며, 광범위한 메타데이터와 함께 제공되며, MITRE ATT&CK® 프레임워크 에 매핑되어 위협 조사를 원활하게 해줍니다.

탐지 목록 조회

TellYouThePass 운영자가 진행 중인 캠페인에서 CVE-2024-4577 버그를 활용하는 첫 번째 사례 중 하나가 되었으므로, 사이버 방어자들은 이 결함의 추가적인 무기화 시도를 예상할 수 있습니다. 관련된 익스플로잇을 탐지하기 위해, 아래 나열된 Sigma 규칙을 사용하십시오.

가능한 CVE-2024-4577 (PHP 원격 코드 실행) 악용 시도 (웹 서버를 통해)

Proactive Vulnerability Detection 사용 사례를 다루는 더 많은 큐레이션 콘텐츠를 찾고자 하는 사람들을 위해, SOC Prime 플랫폼은 각기 다른 알고리즘을 큐레이션하여 제공합니다. 이 링크.

TellYouThePass 랜섬웨어 공격 분석

Imperva 위협 연구팀은 최근 전 세계 사이버 방어 공동체에 대해 중대한 PHP 결함을 무기화한 지속적인 공격 이 CVE-2024-4577로 알려져 있으며, 타깃 인스턴스를 랜섬웨어로 추가 감염시키기 위해 진행되고 있다고 알렸습니다. 연구에 따르면, 적대적 활동은 6월 첫 주부터 활성화되어 TellYouThePass 랜섬웨어 작업과 연결될 수 있습니다.

TellYouThePass는 사이버 위협 분야에서 오랜 기간 존재해온 기본 랜섬웨어 유형입니다. 이 랜섬웨어는 다시 등장하여 Log4j 취약점을.

활용하여 발생했습니다. Imperva 분석 결과, 공격자들이 영향을 받은 인스턴스에 웹 셸을 업로드하고 악성 샘플을 배포하기 위한 일련의 공격을 발견했습니다. 랜섬웨어 운영자들은 영향을 받은 기기에서 임의의 PHP 코드를 실행하기 위해 CVE-2024-4577을 악용했습니다. 이들은 mshta.exe 바이너리를 통해 적대적 웹 서버에 호스팅된 HTML 응용 파일을 실행했습니다. 원격 페이로드를 실행할 수 있는 Windows 네이티브 LOLBin 이 이를 가능하게 하여 공격자들이 “생활 환경에서 공존하기” 접근 방식을 활용하고 있음을 시사합니다.

가장 최근의 캠페인에서 활용된 TellYouThePass 랜섬웨어는 HTA 파일을 통한 악성 VBScript 전달로 시작되는 감염 흐름을 통해 .NET 샘플 형태로 나타납니다. 활성화되면 랜섬웨어는 HTA 파일을 통해 전달된 악성 코드로 C2 서버에 HTTP 요청을 보내며, CSS 리소스 요청으로 가장하여 탐지를 피합니다. 또한 “READ_ME10.html”이라는 랜섬 노트를 생성하여 파일 복구 방법을 안내합니다.

신종 랜섬웨어 공격의 위험을 완화하기 위해 방어자들은 지속적으로 경계를 유지하고 빠르게 취약점을 패치할 것을 추천합니다. 야외 공격이 CVE-2024-4577을 활용하여 이미 450K+ PHP 서버에노출되었을 가능성이 있으므로, 주로 미국과 독일에 호스팅되어 있는 Censys의 통계에 따르면, 기업 보안을 강화하는 것이 필수적입니다. SOC Prime의 전체 제품군 인 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 탐지 스택 검증은 신종 및 지속적인 위협에 대해 사전에 방어하고, 공격자가 공격을 감행하기 전에 조직에 고급 방어 능력을 갖추도록 지원하는 올인원 솔루션 역할을 합니다.