Злоумышленники, стоящие за вредоносной программой для майнинга криптовалют RedTail, добавили в свой арсенал эксплойтов недавно обнаруженную брешь в системе безопасности, влияющую на брандмауэры Palo Alto Networks.
Добавление уязвимости PAN-OS в свой инструментарий было дополнено обновлениями вредоносного ПО, которое теперь включает новые методы антианализа, согласно выводам компании Akamai, занимающейся веб-инфраструктурой и безопасностью.
"Злоумышленники сделали шаг вперед, используя частные пулы крипто-майнинга для большего контроля над результатами майнинга, несмотря на возросшие операционные и финансовые затраты", - заявили исследователи безопасности Райан Барнетт, Стив Купчик и Максим Заводчик в техническом отчете, которым поделились с Hacker News.
Обнаруженная Akamai последовательность заражения использует исправленную уязвимость в PAN-OS, отслеживаемую как CVE-2024-3400 (оценка CVSS: 10.0), которая может позволить злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код с правами root на брандмауэре.
За успешной эксплуатацией следует выполнение команд, предназначенных для извлечения и запуска скрипта оболочки bash из внешнего домена, который, в свою очередь, отвечает за загрузку полезной нагрузки RedTail на основе архитектуры процессора.
Другие механизмы распространения RedTail включают использование известных недостатков безопасности в маршрутизаторах TP-Link (CVE-2023-1389), ThinkPHP (CVE-2018-20062), Ivanti Connect Secure (CVE-2023-46805 и CVE-2024-21887) и VMware Workspace ONE Access and Identity Manager (CVE-2022-22954).
RedTail была впервые задокументирована исследователем безопасности Патри Маховяком в январе 2024 года в связи с кампанией, которая использовала уязвимость Log4Shell (CVE-2021-44228) для развертывания вредоносного ПО в системах на базе Unix.
Затем, в марте 2024 года, Barracuda Networks раскрыла подробности кибератак, использующих недостатки SonicWall (CVE-2019-7481) и Visual Tools DVR (CVE-2021-42071) для установки вариантов ботнета Mirai, а также недостатки ThinkPHP для развертывания RedTail.
Последняя версия майнера, обнаруженная в апреле, содержит значительные обновления, поскольку включает зашифрованную конфигурацию майнинга, которая используется для запуска встроенного майнера XMRig.
Еще одним заметным изменением является отсутствие криптовалютного кошелька, что указывает на то, что субъекты угрозы, возможно, переключились на частный пул майнинга или прокси-сервер пула для получения финансовой выгоды.
"Конфигурация также показывает, что участники угрозы пытаются максимально оптимизировать операцию майнинга, что указывает на глубокое понимание крипто-майнинга", - сказали исследователи.
"В отличие от предыдущего варианта RedTail, о котором сообщалось в начале 2024 года, эта вредоносная программа использует передовые методы уклонения и сохранения. Она многократно разветвляется, чтобы помешать анализу при отладке своего процесса, и уничтожает любой экземпляр [GNU Debugger], который находит."
Акамаи описал RedTail как обладающую высоким уровнем отточенности, что не часто наблюдается среди семейств вредоносных программ для майнинга криптовалют в дикой природе.
В настоящее время точно не ясно, кто стоит за вредоносным ПО для майнинга криптовалют, хотя использование частных пулов для крипто-майнинга отражает тактику, используемую связанной с Северной Кореей Lazarus Group, которая имеет историю организации широкомасштабных кибератак с целью получения финансовой выгоды, отметили в компании.
"Инвестиции, необходимые для запуска частной операции по крипто-майнингу, значительны, включая персонал, инфраструктуру и обфускацию", - заключили исследователи. "Такая изощренность может указывать на атакующую группу, спонсируемую национальным государством".
Добавление уязвимости PAN-OS в свой инструментарий было дополнено обновлениями вредоносного ПО, которое теперь включает новые методы антианализа, согласно выводам компании Akamai, занимающейся веб-инфраструктурой и безопасностью.
"Злоумышленники сделали шаг вперед, используя частные пулы крипто-майнинга для большего контроля над результатами майнинга, несмотря на возросшие операционные и финансовые затраты", - заявили исследователи безопасности Райан Барнетт, Стив Купчик и Максим Заводчик в техническом отчете, которым поделились с Hacker News.
Обнаруженная Akamai последовательность заражения использует исправленную уязвимость в PAN-OS, отслеживаемую как CVE-2024-3400 (оценка CVSS: 10.0), которая может позволить злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код с правами root на брандмауэре.
За успешной эксплуатацией следует выполнение команд, предназначенных для извлечения и запуска скрипта оболочки bash из внешнего домена, который, в свою очередь, отвечает за загрузку полезной нагрузки RedTail на основе архитектуры процессора.
Другие механизмы распространения RedTail включают использование известных недостатков безопасности в маршрутизаторах TP-Link (CVE-2023-1389), ThinkPHP (CVE-2018-20062), Ivanti Connect Secure (CVE-2023-46805 и CVE-2024-21887) и VMware Workspace ONE Access and Identity Manager (CVE-2022-22954).
RedTail была впервые задокументирована исследователем безопасности Патри Маховяком в январе 2024 года в связи с кампанией, которая использовала уязвимость Log4Shell (CVE-2021-44228) для развертывания вредоносного ПО в системах на базе Unix.
Затем, в марте 2024 года, Barracuda Networks раскрыла подробности кибератак, использующих недостатки SonicWall (CVE-2019-7481) и Visual Tools DVR (CVE-2021-42071) для установки вариантов ботнета Mirai, а также недостатки ThinkPHP для развертывания RedTail.
Последняя версия майнера, обнаруженная в апреле, содержит значительные обновления, поскольку включает зашифрованную конфигурацию майнинга, которая используется для запуска встроенного майнера XMRig.
Еще одним заметным изменением является отсутствие криптовалютного кошелька, что указывает на то, что субъекты угрозы, возможно, переключились на частный пул майнинга или прокси-сервер пула для получения финансовой выгоды.
"Конфигурация также показывает, что участники угрозы пытаются максимально оптимизировать операцию майнинга, что указывает на глубокое понимание крипто-майнинга", - сказали исследователи.
"В отличие от предыдущего варианта RedTail, о котором сообщалось в начале 2024 года, эта вредоносная программа использует передовые методы уклонения и сохранения. Она многократно разветвляется, чтобы помешать анализу при отладке своего процесса, и уничтожает любой экземпляр [GNU Debugger], который находит."
Акамаи описал RedTail как обладающую высоким уровнем отточенности, что не часто наблюдается среди семейств вредоносных программ для майнинга криптовалют в дикой природе.
В настоящее время точно не ясно, кто стоит за вредоносным ПО для майнинга криптовалют, хотя использование частных пулов для крипто-майнинга отражает тактику, используемую связанной с Северной Кореей Lazarus Group, которая имеет историю организации широкомасштабных кибератак с целью получения финансовой выгоды, отметили в компании.
"Инвестиции, необходимые для запуска частной операции по крипто-майнингу, значительны, включая персонал, инфраструктуру и обфускацию", - заключили исследователи. "Такая изощренность может указывать на атакующую группу, спонсируемую национальным государством".
