勒索軟體駭客TellYouThePass鎖定近期公布的PHP重大漏洞

上週臺灣資安業者戴夫寇爾針對他們向PHP通報的重大層級漏洞CVE-2024-4577提出警告，呼籲網站管理者儘速套用新版PHP程式，或是採取緩解措施，由於全球有近八成網站採用PHP，這項漏洞很快就有駭客將其用於攻擊行動。

在PHP於6日發布新版軟體修補上述漏洞，隔日Shadowserver基金會就發現密罐陷阱出現漏洞嘗試利用的情況。接著在6月8日，資安業者Imperva發現勒索軟體駭客組織TellYouThePass利用這項漏洞從事攻擊，他們看到對方成功觸發漏洞後，於受害伺服器上執行PHP程式碼，利用名為system的功能進行寄生攻擊，透過執行檔mshta.exe執行攻擊者網頁伺服器上的HTML應用程式檔案。

駭客初期於受害主機植入含有惡意VBScript指令碼的HTML應用程式檔案dd3.hta，該指令碼包含一個經過Base64編碼處理後的長字串，解碼後會產生執行檔，並在記憶體內載入、執行，而這個執行檔就是以.NET打造的勒索軟體TellYouThePass程式。

一旦此勒索軟體啟動，便會向C2伺服器發送HTTP請求，傳送受害主機的系統資訊，為了迴避偵測，駭客將其偽裝成搜尋CSS樣式表資源的請求。

最終該勒索軟體會列出所有資料夾、終止特定的處理程序、產生加密金鑰並加密檔案，並在網站根目錄留下勒索訊息READ_ME10.html。

有受害者在資安新聞網站Bleeping Computer的論壇指出，對方向他勒索0.1個比特幣，相當於6,742美元（新臺幣218,129元）。

值得留意的是，仍有許多網站尚未修補這項漏洞而可能曝險。資安業者Censys指出，他們發現約有458,800個存在漏洞的PHP實體；資安業者Wiz表示，約有34%雲端環境存在含有漏洞的PHP系統。