勒索軟體TellYouThePass利用PHP重大漏洞進行攻擊

勒索軟體TellYouThePass利用PHP重大漏洞進行攻擊

6月6日,PHP發布了新版軟體,修補了由臺灣資安業者戴夫寇爾通報的重大漏洞CVE-2024-4577。這一漏洞被駭客組織TellYouThePass迅速利用,用於攻擊行動,對全球數百萬網站構成威脅。

漏洞背景

CVE-2024-4577是一個遠端程式碼執行(RCE)漏洞,允許攻擊者在未經身份驗證的情況下執行任意程式碼。由於PHP是全球最廣泛使用的伺服器端腳本語言之一,這一漏洞對許多網站的安全構成了重大風險。

攻擊案例

在PHP發布新版本的第二天,Shadowserver基金會發現蜜罐陷阱中出現了漏洞利用的跡象。隨後,資安業者Imperva報告稱,勒索軟體駭客組織TellYouThePass正在利用這一漏洞進行攻擊。他們觀察到駭客成功觸發漏洞後,在受害伺服器上執行PHP程式碼,並通過名為system的功能進行寄生攻擊,利用mshta.exe執行HTML應用程式檔案。

駭客初期在受害主機上植入含有惡意VBScript指令碼的HTML應用程式檔案dd3.hta。該指令碼包含經過Base64編碼的長字串,解碼後生成執行檔,並在記憶體內載入、執行,這個執行檔就是以.NET打造的勒索軟體TellYouThePass。

攻擊行為

一旦勒索軟體啟動,便會向C2伺服器發送HTTP請求,傳送受害主機的系統資訊。為了迴避偵測,駭客將其偽裝成搜尋CSS樣式表資源的請求。最終,該勒索軟體會列出所有資料夾、終止特定的處理程序、生成加密金鑰並加密檔案,並在網站根目錄留下勒索訊息READ_ME10.html。

防範措施

我們強烈建議所有PHP使用者立即更新至最新版本(8.3.8、8.2.20、8.1.29),以防範潛在的攻擊風險。對於尚未更新的系統,請採取緩解措施,確保網站安全。