上周台湾资安业者戴夫寇尔针对他们向PHP通报的重大层级漏洞CVE-2024-4577提出警告，呼吁网站管理者尽速套用新版PHP程序，或是采取缓解措施，由于全球有近八成网站采用PHP，这项漏洞很快就有黑客将其用于攻击行动。

在PHP于6日发布新版软件修补上述漏洞，隔日Shadowserver基金会就发现密罐陷阱出现漏洞尝试利用的情况。接着在6月8日，资安业者Imperva发现勒索软件黑客组织TellYouThePass利用这项漏洞从事攻击，他们看到对方成功触发漏洞后，于受害服务器上运行PHP代码，利用名为system的功能进行寄生攻击，通过运行档mshta.exe运行攻击者网页服务器上的HTML应用程序文件。

黑客初期于受害主机植入含有恶意VBScript脚本的HTML应用程序文件dd3.hta，该脚本包含一个经过Base64编码处理后的长字符串，解码后会产生运行档，并在内存内加载、运行，而这个运行档就是以.NET打造的勒索软件TellYouThePass程序。

一旦此勒索软件启动，便会向C2服务器发送HTTP请求，发送受害主机的系统信息，为了回避侦测，黑客将其伪装成搜索CSS样式表资源的请求。

最终该勒索软件会列出所有文件夹、终止特定的处理进程、产生加密密钥并加密文件，并在网站根目录留下勒索消息READ_ME10.html。

有受害者在资安新闻网站Bleeping Computer的论坛指出，对方向他勒索0.1个比特币，相当于6,742美元（新台币218,129元）。

值得留意的是，仍有许多网站尚未修补这项漏洞而可能曝险。资安业者Censys指出，他们发现约有458,800个存在漏洞的PHP实体；资安业者Wiz表示，约有34%云端环境存在含有漏洞的PHP系统。