TellYouThePassはランサムウェアグループです。
これまでいくつもの攻撃キャンペーンを展開してきます。
また最近目につく活動を行っていることが確認されています。
- ターゲット
標的となっているのは、PHPの導入されているシステムです。 - 手口
PHPでは、最近脆弱性が修正されてリリースされたバージョンがあります。
この脆弱性を悪用する手口になっています。 - スピード感
これまでいろいろな脅威がゼロデイという言い方で説明されてきましたが、そういったスピード感の攻撃が展開されています。
悪用された脆弱性は、2024年6月6日に更新版がリリースされたものです。
CVE-2024-4577です。
この時点では、NISTのNVDには、まだその脆弱性の情報は公開されていませんでした。
そして、脅威活動が開始されたことが確認されているのは、2024年6月8日です。
情報が公開されてから約2日という速さです。 - 侵入時の処理の流れ
CVE-2024-4577の脆弱性を悪用して任意のPHPコードを実行し、Windows mshta.exeバイナリを使用して悪意のあるHTMLアプリケーション(HTA)ファイルを実行するという流れです。
このHTAには、バイナリにデコードされるbase64エンコードされた文字列を含むVBScriptが含まれており、ランサムウェアの.NETバリアントをホストのメモリにロードします。
そして、このバイナリが実行されると、マルウェアはCSSリソース要求を装ったHTTP要求をコマンドアンドコントロールサーバーに送信し、感染したマシン上のファイルを暗号化します。
暗号化したら、その場所に「READ_ME10.html」という名前で身代金要求の文面を配置します。
パッチケイデンスという言い方があります。
ケイデンスとは「リズム」「律動」「調子」などの意味を持つ単語なのですが、いろいろな分野でこの言葉は回転数を示すものとして利用されます。
パッチケイデンスは、パッチ適用の業務をくるくる回す、という意味合いのものです。
パッチの適用を定期的に実施することは当然として、その回転速度が重要、ということなんでしょうね。
Update: CVE-2024-4577 quickly weaponized to distribute “TellYouThePass” Ransomware
https://www.imperva.com/blog/update-cve-2024-4577-quickly-weaponized-to-distribute-tellyouthepass-ransomware/
| この記事をシェア |
|
|---|
