210/67 (IT) ประจำวันพฤหัสบดีที่ 13 มิถุนายน 2567

กลุ่ม TellYouThePass Ransomware ได้ใช้ประโยชน์จากช่องโหว่ที่เพิ่งได้รับการแก้ไขที่ CVE-2024-4577 ซึ่งเป็นช่องโหว่ remote code execution ใน PHP โดยการส่ง webshell และ execute encryptor payload บนระบบเป้าหมาย โดยการโจมตีเริ่มขึ้นเมื่อวันที่ 8 มิถุนายน หลังจากที่มีการออกอัปเดตความปลอดภัยจากผู้ดูแล PHP
TellYouThePass Ransomware เป็นที่รู้จักในวงการว่าเป็นกลุ่มที่ใช้ประโยชน์จากช่องโหว่ที่มีการเปิดเผยต่อสาธารณะอย่างรวดเร็ว โดยเมื่อเดือนพฤศจิกายนที่ผ่านมา ได้ใช้ประโยชน์จากช่องโหว่การสั่งรันโค้ดจากระยะไกลใน Apache ActiveMQ และในเดือนธันวาคม 2021 ได้ใช้ประโยชน์จากช่องโหว่ Log4j เพื่อโจมตีบริษัทต่างๆ
ในเหตุการณ์ล่าสุดที่นักวิจัยจากบริษัทความปลอดภัยไซเบอร์ Imperva ตรวจพบ TellYouThePass ได้ใช้ช่องโหว่ร้ายแรง CVE-2024-4577 เพื่อรันโค้ด PHP ที่ไม่ปลอดภัย โดยใช้ไบนารี mshta.exe ของ Windows เพื่อรันไฟล์แอปพลิเคชัน HTML (HTA) ที่เป็นอันตราย
ช่องโหว่ดังกล่าวถูกค้นพบเมื่อวันที่ 7 พฤษภาคมโดย Orange Tsai จาก Devcore ซึ่งได้รายงานให้ทีม PHP ทราบ และการแก้ไขได้ถูกเผยแพร่เมื่อวันที่ 6 มิถุนายน พร้อมกับการปล่อย PHP เวอร์ชัน 8.3.8, 8.2.20 และ 8.1.29