S2W 위협 인텔리전스센터 탈론 (TALON)이 PHP 취약점을 악용한 텔유더패스 랜섬웨어(TellYouThePass Ransomware) 분석 및 가상자산 추적 결과 보고서를 발행했습니다.
침해사고에 사용된 단순 악성코드 분석을 넘어, 이와 관련된 가상자산 추적 결과까지 확인할 수 있는 난이도 높은 위협 인텔리전스 보고서입니다.
✅ 보고서 제목:
TellYouThePass: Ransomware Attacks Exploits Critical PHP RCE Vulnerability
✅ 보고서 내용:
📌 텔유더패스 랜섬웨어 (TellYouThePass Ransomware)
2019년 3월에 처음 등장한 랜섬웨어 그룹 TellYouThePass는 Windows SMB EternalBlue, Log4j 취약점, Confluence Server 취약점, Apache MQ 취약점 등 공개된 RCE Exploit을 이용하여 취약한 서버를 공격함.
- TellYouThePass는 데이터 유출 사이트를 운영하지 않으며 랜섬노트에 적힌 이메일을 통해서만 피해 기업과 협상하고 복호화 키를 제공하는 특징이 있음.
- 2024–06–06에 패치된 PHP RCE 취약점(CVE-2024–4577)을 악용하여 TellYouThePass 랜섬웨어를 유포한 사례가 2024년 6월 8일을 기점으로 다수 확인됨.
📌 취약점 (Vulnerability)
CVE-2024–4577는 특정 코드 페이지를 사용하는 시스템 로캘로 설정된 Windows 환경에서 PHP-CGI 사용 시 Query String에 대한 입력 검증 미흡으로 인해 발생한 Remote Code Execution 취약점임.
- 일본어, 간체 중국어 및 번체 중국어로 시스템 로캘이 설정된 Windows 환경에서 실행되는 8.3.8, 8.2.20 및 8.1.29 이전의 모든 PHP가 본 취약점의 영향을 받음.
- 코드 페이지 949(한국어) 등의 기타 환경에서는 `%AD` 문자열에 의한 취약점은 발생하지 않는 것으로 확인되었으나, PHP의 사용 시나리오가 다양하기 때문에 모든 경우의 수를 확인하기 어려워 악용 가능성 존재 여부를 확신하기 어려움.
📌 악성코드 분석 (Malware Analysis)
TellYouThePass 랜섬웨어 그룹은 해당 취약점을 악용하여 초기 침투를 수행함과 동시에 공격자의 서버에서 악성 스크립트를 다운로드 받고 실행.
- 악성 스크립트는 TellYouThePass 랜섬웨어 로더를 드롭하며, 해당 악성코드는 오픈소스 도구 BadPotato, EfsPotato, SweetPotato 및 BlindingEDR의 소스코드를 사용하여 권한을 상승하고 AV/EDR 탐지를 우회함.
- 최종적으로 TellYouThePass 랜섬웨어를 드롭하고 실행하여 시스템 내 파일을 암호화 함.
📌 Bitcoin Transaction
TellYouThePass 랜섬노트에 기재된 비트코인 지갑 주소로 총 0.279 BTC(약 15,990달러)의 랜섬머니가 송금된 내역이 확인되었으며 피해 기업이 지불한 것으로 추정.
- TellYouThePass 비트코인 지갑으로 송금된 랜섬머니는 일정 비율로 분할되어 타 지갑 주소로 전송된 후, ChangeNOW 거래소로 전액 송금됨.
🧑💻보고서 작성자: S2W TALON
👉 보고서 전문 보기: https://bit.ly/3ypLKef
*해당 보고서는 별도 문의 가능하며 S2W의 플랫폼 구독 시 전문으로 제공됩니다.