上週臺灣資安業者戴夫寇爾針對他們向PHP通報的重大層級漏洞CVE-2024-4577提出警告,呼籲網站管理者儘速套用新版PHP程式,或是採取緩解措施,由於全球有近八成網站採用PHP,這項漏洞很快就有駭客將其用於攻擊行動。
在PHP於6日發布新版軟體修補上述漏洞,隔日Shadowserver基金會就發現密罐陷阱出現漏洞嘗試利用的情況。接著在6月8日,資安業者Imperva發現勒索軟體駭客組織TellYouThePass利用這項漏洞從事攻擊,他們看到對方成功觸發漏洞後,於受害伺服器上執行PHP程式碼,利用名為system的功能進行寄生攻擊,透過執行檔mshta.exe執行攻擊者網頁伺服器上的HTML應用程式檔案。
駭客初期於受害主機植入含有惡意VBScript指令碼的HTML應用程式檔案dd3.hta,該指令碼包含一個經過Base64編碼處理後的長字串,解碼後會產生執行檔,並在記憶體內載入、執行,而這個執行檔就是以.NET打造的勒索軟體TellYouThePass程式。
一旦此勒索軟體啟動,便會向C2伺服器發送HTTP請求,傳送受害主機的系統資訊,為了迴避偵測,駭客將其偽裝成搜尋CSS樣式表資源的請求。
最終該勒索軟體會列出所有資料夾、終止特定的處理程序、產生加密金鑰並加密檔案,並在網站根目錄留下勒索訊息READ_ME10.html。
有受害者在資安新聞網站Bleeping Computer的論壇指出,對方向他勒索0.1個比特幣,相當於6,742美元(新臺幣218,129元)。
值得留意的是,仍有許多網站尚未修補這項漏洞而可能曝險。資安業者Censys指出,他們發現約有458,800個存在漏洞的PHP實體;資安業者Wiz表示,約有34%雲端環境存在含有漏洞的PHP系統。
熱門新聞
2024-12-03
2024-11-20
2024-11-15
2024-11-15