Detecção de Ataque de Ransomware TellYouThePass: Hackers Exploram CVE-2024-4577 para Instalar Web Shells e Introduzir Malware

[post-views]
Junho 13, 2024 · 4 min de leitura
Detecção de Ataque de Ransomware TellYouThePass: Hackers Exploram CVE-2024-4577 para Instalar Web Shells e Introduzir Malware

Os operadores do ransomware TellYouThePass foram observados por trás de uma nova campanha de adversários aproveitando a vulnerabilidade PHP-CGI rastreada como CVE-2024-4577. Os adversários usam a falha para fazer upload de shells web e distribuir o ransomware TellYouThePass em instâncias comprometidas.

Detectar Campanha de Ransomware TellYouThePass

À luz do recém-descoberto bug PHP-CGI sendo rapidamente utilizado para ataques em campo, facilitando a distribuição do ransomware TellYouThePass, os profissionais de segurança devem proativamente abordar essa ameaça emergente. Para detectar possíveis intrusões do TellYouThePass em seus estágios iniciais, a Plataforma SOC Prime para defesa cibernética coletiva fornece um conjunto dedicado de regras Sigma.

Basta clicar no botão Explorar Detecções abaixo e imediatamente aprofundar-se na pilha de detecção relevante compatível com mais de 30 tecnologias SIEM, EDR e Data Lake. Todas as regras são enriquecidas com CTI acionável, acompanhadas de extensos metadados, e mapeadas para o framework MITRE ATT&CK® para facilitar a investigação da ameaça.

Explorar Detecções

Com os operadores do TellYouThePass sendo dos primeiros a aproveitar a falha CVE-2024-4577 em campanhas em andamento, os defensores cibernéticos podem esperar mais tentativas de uso dessa falha. Para detectar explorações associadas, use uma regra Sigma listada abaixo.

Possível Tentativa de Exploração do CVE-2024-4577 (Execução Remota de Código PHP) (via servidor web)

Para aqueles que buscam conteúdo mais curado sobre o uso de Detecção Proativa de Vulnerabilidades, a Plataforma SOC Prime agrega a maior coleção de algoritmos curados disponíveis com este link.

Análise de Ataque de Ransomware TellYouThePass

A equipe de Pesquisa de Ameaças da Imperva notificou recentemente a comunidade global de defensores cibernéticos sobre ataques em andamento que utilizam a falha crítica do PHP conhecida como CVE-2024-4577 para infectar ainda mais as instâncias alvo com ransomware. De acordo com a pesquisa, a atividade dos adversários está ativa desde a primeira década de junho e pode ser vinculada às operações de ransomware TellYouThePass.

TellYouThePass é uma cepa de ransomware básica que está na arena de ameaças cibernéticas há meio década. O ransomware fez um retorno, coincidindo com a exploração de vulnerabilidades Log4j.

A análise da Imperva descobriu um conjunto de ataques ofensivos TellYouThePass destinados a fazer upload de shells web e distribuir amostras maliciosas em instâncias impactadas. Os operadores de ransomware exploraram CVE-2024-3577 para executar código PHP arbitrário nos dispositivos impactados. Eles usaram este último para executar um arquivo de aplicativo HTML hospedado no servidor web do adversário via o binário mshta.exe. Mshta.exe, um LOLBin nativo do Windows capaz de executar cargas úteis remotas, sugere que os atacantes estão usando uma abordagem de “living-off-the-land”. capable of executing remote payloads, suggests that the attackers are leveraging a “living-off-the-land” approach.

O ransomware TellYouThePass aproveitado na campanha mais recente aparece na forma de amostras .NET entregues através de aplicações HTML. O fluxo de infecção começa com a entrega de um arquivo HTA com o VBScript malicioso. Após ativação, o ransomware envia uma solicitação HTTP para o servidor C2, ocultando detalhes do dispositivo dentro do que parece ser uma solicitação por recursos CSS para evitar a detecção. Ele também gera uma nota de resgate “READ_ME10.html”, oferecendo instruções para recuperar arquivos.

Para mitigar os riscos de ataques de ransomware emergentes, os defensores recomendam permanecer constantemente vigilantes e implementar correções de vulnerabilidades em tempo hábil. Como os ataques em campo utilizando CVE-2024-4577 podem já ter exposto mais de 450K servidores PHP, principalmente hospedados nos EUA e na Alemanha, de acordo com estatísticas da Censys, é imperativo fortalecer a segurança empresarial. O conjunto completo de produtos da SOC Prime para Engenharia de Detecção com suporte de IA, Caça de Ameaças Automatizada e Validação da Pilha de Detecção serve como uma solução completa para defender proativamente contra ameaças emergentes e persistentes e equipar sua organização com capacidades defensivas avançadas para interromper adversários antes que ataquem.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Veronika Telychko
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Veronika Telychko
Detecção de Backdoor TorNet: Uma Campanha de Phishing Contínua Usa Malware PureCrypter para Descarregar Outros Cargas
Ameaças Mais Recentes, Blog — 6 min de leitura
Detecção de Backdoor TorNet: Uma Campanha de Phishing Contínua Usa Malware PureCrypter para Descarregar Outros Cargas
Veronika Telychko