Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Майнер RedTail атакует брандмауэры, скрываясь в криптовалютных пулах

03/06/24

44468aec-c81b-4a56-b04b-43427f74e3de-768x357

Злоумышленники, стоящие за вредоносным ПО RedTail, добавили недавно обнаруженную уязвимость в брандмауэрах Palo Alto Networks в свой арсенал атак. В результате обновлений, вредоносное ПО теперь включает новые техники защиты от анализа, что подтверждают эксперты из компании Akamai, специализирующейся на веб-инфраструктуре и безопасности.

Специалисты по безопасности Райан Барнетт, Стив Купчик и Максим Заводчик в своём техническом отчёте отметили, что атакующие сделали шаг вперёд, используя частные криптовалютные майнинговые пулы для большего контроля над результатами майнинга, несмотря на возросшие операционные и финансовые затраты, пишет Securitylab.

Атака начинается с использования уязвимости в PAN-OS с идентификатором CVE-2024-3400, которая позволяет неавторизованному злоумышленнику выполнять произвольный код с правами суперпользователя на брандмауэре. После успешного взлома, выполняются команды, предназначенные для загрузки и запуска bash-скрипта с внешнего домена, который затем скачивает вредоносное ПО RedTail в зависимости от архитектуры процессора.

RedTail также использует и другие механизмы распространения, эксплуатируя известные уязвимости в маршрутизаторах TP-Link (CVE-2023-1389), ThinkPHP (CVE-2018-20062), Ivanti Connect Secure (CVE-2023-46805 и CVE-2024-21887), а также VMWare Workspace ONE Access и Identity Manager (CVE-2022-22954).

Первое упоминание о RedTail появилось в январе 2024 года, когда исследователь безопасности Патрик Маховяк задокументировал кампанию, использующую уязвимость Log4Shell (CVE-2021-44228) для внедрения вредоносного ПО на системы на базе Unix.

В марте 2024 года компания Barracuda Networks раскрыла детали кибератак, эксплуатирующих уязвимости в SonicWall (CVE-2019-7481) и Visual Tools DVR (CVE-2021-42071) для установки вариантов ботнета Mirai, а также недостатки в ThinkPHP для развёртывания RedTail.

Последняя версия майнера, обнаруженная в апреле, включает значительные обновления, такие как зашифрованная конфигурация, используемая для запуска встроенного майнера XMRig. Также в экземпляре отсутствует жёстко запрограммированный криптовалютный кошелёк, что может свидетельствовать о переходе злоумышленников на частные майнинговые пулы или прокси-пулы.

Эксперты отметили, что последняя конфигурация вредоноса показывает стремление злоумышленников оптимизировать процесс майнинга, в том числе благодаря использованию продвинутых техник уклонения и устойчивости. Всё это свидетельствует о глубоком понимании хакерами принципов работы криптомайнинга.

Akamai охарактеризовала RedTail как высококачественное вредоносное ПО, что редко встречается среди семейств майнеров криптовалют. Точные личности злоумышленников пока неизвестны, однако использование частных майнинговых пулов напоминает тактику, применяемую северокорейской группой Lazarus, которая известна широкомасштабными кибератаками с целью финансовой выгоды.

Темы:криптовалютыУгрозыPalo Alto NetworksAkamai
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...