Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi, Yama Yönetimi
Kusur, Kimliği Doğrulanmamış Saldırganların Keyfi Kod Çalıştırmasına İzin Verir
Prajeet Nair (@prajeetspeaks) •
11 Haziran 2024
Yaygın internet açıklarından yararlanma geçmişi olan bir fidye yazılımı operasyonu, web komut dosyası dili PHP’nin Windows kurulumlarındaki kritik önemdeki bir güvenlik açığından faydalanmada çok az zaman kaybettirdi.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
Imperva Tehdit Araştırması Pazartesi günü yayınlanan bir raporda, TellYouThePass fidye yazılımı operatörlerinin, araştırmacıların kavram kanıtlama komut dosyasını yayınlamasından saatler sonra, CVE-2024-4577 olarak takip edilen PHP hatasını kullanmaya başladığını söyledi (bkz.: Kritik PHP Güvenlik Açığı Windows Sunucularını Tehdit Ediyor).
2019’dan beri aktif olan TellYouThePass fidye yazılımı grubu, sistem yöneticilerinin dünya çapında yama sistemlerine erişmeye çalıştığı siber olaylarda fırsat görüyor. Log4Shell olarak bilinen 2021 güvenlik açığına atlayan siber suç grupları arasında yer aldı. Güvenlik araştırmacıları bunun yeni biçimlerde ortaya çıkma geçmişine sahip olduğunu söylüyor. Çinli ağ güvenlik şirketi Snagfor bunu Mart ayında fark etti.
Imperva araştırmacıları Pazartesi günü yaptığı açıklamada, Windows PHP sistemlerine yönelik web kabuğu yüklemeleri ve fidye yazılımı dağıtma çabalarını içeren çok sayıda hackleme girişimi gözlemlediklerini söyledi.
Saldırganlar, PHP’yi kullanarak rastgele PP kodu yürütmek için PHP kusurunu kullanır. system Bilgisayar korsanlarının kontrol ettiği bir web sunucusunda barındırılan bir HTML uygulama dosyasını çalıştırma işlevi. Saldırganlar kullanıyor mshta.exe saldırıyı başlatmak için – mshta.exe Imperva araştırmacıları, “uzaktaki yükleri çalıştırabilen ve saldırganların ‘toprakta yaşama’ tarzında faaliyet gösterdiğine işaret eden yerel bir Windows ikili programıdır” diye yazdı.
İlk enfeksiyon, adlı bir HTML uygulamasını içerir. dd3.hta kötü amaçlı bir VBScript içeriyor. Bu VBScript, kodu çözüldüğünde çalışma zamanı sırasında belleğe yüklenen ikili dosyanın baytlarını açığa çıkaran base64 kodlu bir dize içeriyordu.
Çıkarılan baytlar, TellYouThePass fidye yazılımının .NET versiyonu olan, çalışma zamanı sırasında belleğe Taşınabilir Çalıştırılabilir bir dosya yükleyen serileştirilmiş bir yöntemi ortaya çıkardı. Dosya yürütüldükten sonra komut ve kontrol sunucusuna, virüslü makineyle ilgili ayrıntıları içeren bir HTTP isteği gönderir. Geri arama, muhtemelen tespit edilmekten kaçınmak için CSS kaynaklarını alma isteği görünümüne bürünür.
Komuta ve kontrol IP’si, Imperva tarafından incelenen örnekte sabit kodlanmıştır. Kötü amaçlı yazılım, web kök dizininde fidye ödemesi için gerekli ayrıntıları sağlayan bir Beni Oku mesajı yayınlayarak sona eriyor.