Новости RedTail: призрачный майнер атакует брандмауэры, скрываясь в криптовалютных пулах

NewsMaker

I'm just a script
Премиум
13,852
20
8 Ноя 2022
Специалисты уже выдвинули предположения, какая хакерская группировка может стоять за распространением вредоноса.


fvxvjcms8dp8whwykvx6wqu95flejav6.jpg


Злоумышленники, стоящие за вредоносным ПО RedTail, добавили недавно обнаруженную уязвимость в брандмауэрах Palo Alto Networks в свой арсенал атак. В результате обновлений, вредоносное ПО теперь включает новые техники защиты от анализа, что Для просмотра ссылки Войди или Зарегистрируйся эксперты из компании Akamai , специализирующейся на веб-инфраструктуре и безопасности.

Специалисты по безопасности Райан Барнетт, Стив Купчик и Максим Заводчик в своём техническом отчёте отметили, что атакующие сделали шаг вперёд, используя частные криптовалютные майнинговые пулы для большего контроля над результатами майнинга, несмотря на возросшие операционные и финансовые затраты.

Атака начинается с использования уязвимости в PAN-OS с идентификатором Для просмотра ссылки Войди или Зарегистрируйся которая позволяет неавторизованному злоумышленнику Для просмотра ссылки Войди или Зарегистрируйся на брандмауэре . После успешного взлома, выполняются команды, предназначенные для загрузки и запуска bash-скрипта с внешнего домена, который затем скачивает вредоносное ПО RedTail в зависимости от архитектуры процессора.

RedTail также использует и другие механизмы распространения, эксплуатируя известные уязвимости в маршрутизаторах TP-Link ( Для просмотра ссылки Войди или Зарегистрируйся ), ThinkPHP ( Для просмотра ссылки Войди или Зарегистрируйся ), Ivanti Connect Secure ( Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся ), а также VMWare Workspace ONE Access и Identity Manager ( Для просмотра ссылки Войди или Зарегистрируйся ).

Первое упоминание о RedTail появилось в январе 2024 года, когда исследователь безопасности Патрик Маховяк Для просмотра ссылки Войди или Зарегистрируйся кампанию, использующую уязвимость Log4Shell ( Для просмотра ссылки Войди или Зарегистрируйся ) для внедрения вредоносного ПО на системы на базе Unix.

В марте 2024 года компания Barracuda Networks Для просмотра ссылки Войди или Зарегистрируйся детали кибератак, эксплуатирующих уязвимости в SonicWall ( Для просмотра ссылки Войди или Зарегистрируйся ) и Visual Tools DVR ( Для просмотра ссылки Войди или Зарегистрируйся ) для установки вариантов ботнета Mirai, а также недостатки в ThinkPHP для развёртывания RedTail.

Последняя версия майнера, обнаруженная в апреле, включает значительные обновления, такие как зашифрованная конфигурация, используемая для запуска встроенного майнера XMRig. Также в экземпляре отсутствует жёстко запрограммированный криптовалютный кошелёк, что может свидетельствовать о переходе злоумышленников на частные майнинговые пулы или прокси-пулы.

Эксперты отметили, что последняя конфигурация вредоноса показывает стремление злоумышленников оптимизировать процесс майнинга, в том числе благодаря использованию продвинутых техник уклонения и устойчивости. Всё это свидетельствует о глубоком понимании хакерами принципов работы криптомайнинга.

Akamai охарактеризовала RedTail как высококачественное вредоносное ПО, что редко встречается среди семейств майнеров криптовалют. Точные личности злоумышленников пока неизвестны, однако использование частных майнинговых пулов напоминает тактику, применяемую северокорейской группой Lazarus, которая известна широкомасштабными кибератаками с целью финансовой выгоды.
 
Источник новости
www.securitylab.ru

Похожие темы