TellYouthePassは、2019年から活動しているランサムウェアグループであり、特にオープンソースのWeb開発言語内で見つかった脆弱性を利用して被害者を攻撃しています。このグループは最近、PHPスクリプト言語内で見つかった重大なリモートコード実行(RCE)の脆弱性を悪用しています。この脆弱性は、CVE-2024-4577として追跡され、WindowsおよびLinuxシステムを実行しているビジネスや個人をターゲットにしています。
CVE-2024-4577は、PHPの文字エンコーディング変換のエラーから生じる引数注入の脆弱性であり、特にWindowsシステム上の「Best Fit」機能に影響を与えます。この脆弱性は、攻撃者が脆弱なサーバー上で任意のコードを実行する可能性があるため、重大なリスクをもたらします。TellYouthePassは、この脆弱性を利用して、攻撃者が制御するWebサーバー上にホストされたHTMLアプリケーションファイルをmshta.exeバイナリを介して実行することで、ターゲットシステム上で任意のPHPコードを実行しています。
このランサムウェアは、初期感染をHTAファイルを使用して実行し、その後、ディレクトリを列挙し、プロセスを終了させ、暗号化キーを生成し、定義されたファイル拡張子を持つ各列挙ディレクトリ内のファイルを暗号化します。最終的に、攻撃の対応に必要な情報を提供するReadMeメッセージをWebルートディレクトリに公開します。
この問題は、ApacheおよびPHP-CGIを使用しているWindows上で、PHPバージョン8.1.29以前、8.2.20以前、および8.3.8以前に影響します。PHPバージョン8.1.29、8.2.20、および8.3.8はこの脆弱性を修正しています。CVE-2024-4577の悪用を避けるためには、システムのパッチ適用が最初の明確な緩和策ですが、Webスクリプト言語の脆弱性によって影響を受けるすべてのシステムを更新することは時に困難です。この脆弱性の悪用を最小限に抑えるための一つの方法は、CGIモードでPHPを実行しないようにすることです。
【ニュース解説】
TellYouthePassは、2019年から活動しているランサムウェアグループで、最近、PHPスクリプト言語内で発見された重大なリモートコード実行(RCE)の脆弱性を悪用しています。この脆弱性はCVE-2024-4577として追跡され、特にWindowsシステム上の「Best Fit」機能に関連する文字エンコーディング変換のエラーから生じます。この問題は、攻撃者による任意のコード実行を可能にし、WindowsおよびLinuxシステムを実行しているビジネスや個人をターゲットにする広範な攻撃面を提供します。
TellYouthePassグループは、この脆弱性を利用して、攻撃者が制御するWebサーバー上にホストされたHTMLアプリケーションファイルを実行することで、ターゲットシステム上で任意のPHPコードを実行します。この攻撃は、mshta.exeバイナリを介して行われ、これはリモートペイロードを実行できるネイティブWindowsバイナリです。この方法により、攻撃者は「土地を生かす」スタイルで操作を行います。
ランサムウェアの感染は、HTAファイルを使用して初期段階で実行され、その後、ディレクトリの列挙、プロセスの終了、暗号化キーの生成、および特定のファイル拡張子を持つファイルの暗号化が行われます。攻撃の最終段階では、攻撃に対応するために必要な情報を含むReadMeメッセージがWebルートディレクトリに公開されます。
この脆弱性は、特定のPHPバージョンに影響を与え、修正パッチがリリースされています。しかし、Webスクリプト言語の脆弱性によって影響を受けるシステムをすべて更新することは困難な場合があります。この脆弱性の悪用を最小限に抑えるためには、CGIモードでPHPを実行しないようにすることが推奨されます。
この事件は、オープンソースのWeb開発言語に存在する脆弱性が、どのようにして悪意ある攻撃者によって悪用され得るかを示しています。また、組織がシステムを最新の状態に保ち、セキュリティ対策を講じることの重要性を浮き彫りにしています。ランサムウェア攻撃は、ビジネスや個人にとって深刻な脅威であり、データの損失や業務の中断など、重大な影響を及ぼす可能性があります。したがって、脆弱性の迅速な修正、セキュリティ対策の強化、および攻撃を未然に防ぐための意識の高揚が不可欠です。
from TellYouthePass Ransomware Group Exploits Critical PHP Flaw.
