بهره برداری باج‌افزار TellYouThePass از یک آسیب‌پذیری با شدت بحرانی

بهره برداری باج‌افزار TellYouThePass از یک آسیب‌پذیری با شدت بحرانی

تاریخ ایجاد

باج‌افزار TellYouThePass با بهره‌برداری از یک نقص امنیتی بحرانی با شناسه CVE-2024-4577 و شدت 9.8 در PHP و استفاده از ابزارهای ویندوزی mshta.exe، کد مخرب خود را در سیستم قربانی اجرا و بارگذاری می‌کند. این حمله از باینری mshta.exe ویندوز جهت اجرای یک فایل HTML مخرب (HTA) استفاده می‌کند که فایل HTA حاوی VBScript با یک رشته کدگذاری‌شده base64 است که به یک باینری تبدیل می‌شود و این باینری یک نسخه .NET از ransomware را در حافظه سیستم میزبان بارگذاری می‌کند. این بدافزار پس از اجرا، یک درخواست HTTP به سرور C&C ارسال می‌کند پس از برقراری ارتباط، بدافزار شروع به رمزگذاری فایل‌های موجود در ماشین آلوده می‌کند. سپس یک یادداشت باج‌خواهی به نامREAD_ME10.html  با دستورالعمل‌هایی برای قربانی در مورد چگونگی بازگرداندن فایل‌هایشان قرار می‌دهد. در واقع این آسیب‌پذیری ناشی از تبدیل‌ ناامن کاراکترهای ویندوز هنگام استفاده در حالت CGI می‌باشد.

محصولات تحت تأثیر
محصولات زیر تحت تأثیر آسیب‌پذیری مذکور قرار دارند:

  •  تمامی نسخه‌های PHP از  5.x به بعد، به ویژه نسخه‌های 8.3.8، 8.2.20 و 8.1.29 که شامل به‌روزرسانی‌های امنیتی اخیر می‌باشند. 
  • سیستم‌هایی از سرویس Apache ActiveMQ که قبلاً هدف حملات مشابهی قرار گرفته است .
  •  سیستم‌عامل ویندوز که از ابزار mshta.exe جهت اجرای فایل‌های HTML مخرب (HTA)  استفاده می‌کند.
  • سرورهای وب که از php استفاده می¬کنند به ویژه سرورهایی که در حالت CGI بر روی ویندوز پیکربندی شده‌اند.


توصیه‌های امنیتی 
اعمال فوری به‌روزرسانی PHP به نسخه‌های آخر8.3.8- 8.2.20-8.1.29 
نظارت بر ترافیک شبکه و استفاده از IDS/IPS
محدود کردن استفاده از ابزارهای اجرای کد مانندmshta.exe  
پشتیبان‌گیری منظم از داده‌ها و نگه‌داشتن پشتیبان‌ها در مکانی امن و جدا از شبکه اصلی
آموزش کاربران در خصوص خطرات احتمالی و نحوه شناسایی حملات و استفاده از نرم‌افزارهای امنیتی پیشرفته و به‌روزرسانی منظم سیستم‌ها.

منبع خبر:


https://www.bleepingcomputer.com/news/security/tellyouthepass-ransomware-exploits-recent-php-rce-fl…