Bir tehdit grubu, hem Windows hem de Linux sistemlerini çalıştıran işletmeleri ve bireyleri hedef alan, uzaktan kod yürütmeye (RCE) yönelik kritik, kolayca istismar edilebilir bir PHP hatasından yararlanarak, arazide yaşama tarzı fidye yazılımı saldırıları gerçekleştiriyor.
TellYouThePass, 2019’dan beri aktif olan ve özellikle yaygın olarak istismar edilen Apache de dahil olmak üzere açık kaynaklı Web geliştirme dillerinde bulunan bilinen güvenlik açıklarını kullanarak kurbanlara saldıran bir fidye yazılımı grubudur. Log4j (CVE-2021-44228) ve Apache ActiveMQ Sunucusu RCE hatası CVE-2023-46604 olarak takip ediliyor bir blog yazısı Bu hafta Imperva Tehdit Araştırması tarafından yayınlandı.
Grup son zamanlarda, bu ayın başlarında keşfedilen ve şu şekilde takip edilen PHP kodlama dilinde bulunan kritik bir RCE güvenlik açığından yararlanıyor: CVE-2024-4577. Araştırmacılar, “WebShell yükleme denemeleri ve hedef sisteme fidye yazılımı yerleştirmeye yönelik çeşitli girişimler de dahil olmak üzere birkaç kampanya fark ettik” dedi.
Java’ya benzer şekilde PHP de Web geliştirmede yaygın olarak kullanılan bir dildir ve onu etkileyen herhangi bir kusuru saldırganlar için geniş bir saldırı yüzeyi haline getirir. Eğer Log4j kusuru Bu tür güvenlik açıklarının viral bir saldırı akışını başlatabileceğine dair herhangi bir gösterge var mı? organizasyonları rahatsız edebilir ve yıllardır ilgili güvenlik duruşları.
Kamu İstismarında Kritik Kusur
CVE-2024-4577, PHP’deki karakter kodlama dönüşümlerindeki hatalardan kaynaklanan, özellikle Windows sistemlerindeki “En İyi Uyum” özelliğini etkileyen bir argüman ekleme güvenlik açığıdır. “Bu, potansiyel olarak kötü niyetli aktörlerin savunmasız sunucularda rastgele kod yürütmesine olanak tanıyan önemli riskler teşkil ediyor.” analiz Beagle Security’nin kusuru.
WatchTowr’daki araştırmacılar, CVE-2024-4577 için bir kavram kanıtı (PoC) istismar komut dosyası yayınladı. GitHub sayfası 7 Haziran’da bu hatadan yararlanmanın zor olmadığını gösterdi.
Görünüşe göre TellYouThePass notu aldı ve Imperva’ya göre hedef sistemde rastgele PHP kodu yürütmek için kusurun üzerine atladı. Gönderiye göre grup özellikle “mshta.exe ikili dosyası aracılığıyla saldırgan tarafından kontrol edilen bir Web sunucusunda barındırılan bir HTML uygulama dosyasını çalıştırmak için ‘sistem’ işlevini kullanmak üzere koddan yararlanıyor”. Mshta.exe, uzak yükleri çalıştırabilen yerel bir Windows ikili dosyasıdır; dolayısıyla saldırı vektörü grubun belirli bir alanda faaliyet gösterdiğini gösterir. arazide yaşama tarzı.
YouthePass Saldırıları Nasıl Anlatılır
Imperva’ya göre, güvenlik araştırmacıları tarafından ilk kez 2019 yılında tespit edilen TellYouthePass ve fidye yazılımı “yıllar içinde çeşitli biçimlere” büründü. Son zamanlarda kötü amaçlı yazılımın çeşitleri, HTML uygulamaları kullanılarak sunulan .NET örnekleri biçimini aldı.
Gönderiye göre “İlk enfeksiyon, kötü amaçlı bir VBScript içeren bir HTA dosyası (dd3.hta) kullanılarak gerçekleştirildi.” “VBScript, kodu çözüldüğünde çalışma zamanı sırasında belleğe yüklenen bir ikili dosyanın baytlarını ortaya çıkaran uzun bir base64 kodlu dize içerir.”
Yürütülebilir dosyanın daha ayrıntılı analizi, fidye yazılımının, ilk çalıştırmanın ardından, bulaşma bildirimi olarak virüslü makine hakkındaki ayrıntıları içeren komut ve kontrol (C2) sunucusuna bir HTTP isteği gönderen bir .NET varyantı olduğunu ortaya koyuyor. Imperva’ya göre “Geri arama, muhtemelen tespitten kaçınmak için tasarlanmış CSS kaynaklarını alma isteği gibi görünüyor.”
Fidye yazılımı yürütüldükten sonra dizinleri numaralandırır, işlemleri sonlandırır, şifreleme anahtarları oluşturur ve tanımlanmış bir dosya uzantısına sahip numaralandırılmış her dizindeki dosyaları şifreler. Son eylemi, kurbanlara saldırıya yanıt vermek için ihtiyaç duydukları bilgileri sağlayan Web kök dizininde bir Beni Oku mesajı yayınlamaktır.
CVE-2024-4577 Aracılığıyla Uzlaşmadan Kaçınmak
Sorun PHP 8.1 sürümlerini etkiliyor. 8.1.29’dan önce; 8.2. 8.2.20’den önce; ve 8.3. Windows’ta Apache ve PHP-CGI kullanırken 8.3.8’den önce. PHP sürümleri 8.1.29, 8.2.20 Ve 8.3.8 kusuru yama.
Kuruluşların PHP kusurundan yararlanmayı azaltmanın yanı sıra bundan kaçınmanın başka yolları da var fidye yazılımı saldırıları Genel olarak. Etkilenen sistemlere yama uygulanması, CVE-2024-4577’nin ilk belirgin hafifletilmesi olacaktır; ancak Log4j’de görüldüğü gibi bazen Web komut dosyası dilindeki bir kusurdan etkilenen her sistemi güncellemek zordur.
Kusurdan yararlanmayı en aza indirmenin bir yolu PHP’yi çalıştırmayı devre dışı bırakmaktır. CGI modu göre etkinleştirilmiş bir analiz DEVCORE tarafından çevrimiçi olarak yayınlanan kusur. Gönderiye göre “PHP CGI eski ve sorunlu bir mimari olduğundan, Mod-PHP, FastCGI veya PHP-FPM gibi daha güvenli bir mimariye geçiş olasılığının değerlendirilmesi hala tavsiye ediliyor.”
Güvenliği ihlal edilmekten kaçınmak için bazı genel en iyi uygulamalar fidye yazılımı Imperva’ya göre, bir ortamda bulunan tüm çeşitli varlıklar ve uygulamalar hakkında güçlü bir farkındalığa sahip olmak ve bunları etkileyen tüm güvenlik açıklarına yama uygulamak da buna dahildir. Kuruluşlar ayrıca, keşfedildiklerinde saldırıları durdurabilecek Web güvenlik duvarı teknolojisinin yanı sıra TellYouThePass gibi kötü amaçlı yazılım kampanyalarına karşı ilk savunma hattı olarak güvenilir bir anti-virüs programını da kullanmalıdır.