Primijećeno je da zlonamjerni softver za rudarenje kriptovaluta RedTail iskorištava kritičnu ranjivost nultog dana u softveru zaštitnog zida Palo Alto Networks, PAN-OS.
Ova ranjivost, praćena kao CVE-2024-3400 , ima CVSS ocjenu 10,0, što ukazuje na njenu ozbiljnost. Greška omogućava neautorizovanim napadačima da izvršavaju proizvoljan kod sa root privilegijama na pogođenim firewall sistemima, što predstavlja značajnu pretnju organizacijama koje se oslanjaju na ove uređaje za bezbednost mreže.
Proces eksploatacije počinje tako što napadači koriste ranjivost CVE-2024-3400 kako bi dobili neovlašteni pristup zaštitnom zidu.
Jednom kada se dobije pristup, napadači izvršavaju komande za preuzimanje i pokretanje bash shell skripte sa eksterne domene.
Ova skripta je odgovorna za preuzimanje RedTail korisnog opterećenja, koji je prilagođen arhitekturi CPU-a kompromitovanog sistema.
Zlonamjerni softver tada pokreće svoje operacije kriptominiranja, koristeći resurse sistema za rudarenje kriptovalute.
Napredne tehnike i izbjegavanje
Najnovija instrukcija RedTaila uključuje nekoliko naprednih tehnika za izbjegavanje otkrivanja i analize.
Prema Akamaijevim sigurnosnim istraživačima , zlonamjerni softver sada uključuje nove funkcije anti-analize, kao što je višestruko račvanje kako bi se spriječilo otklanjanje grešaka i ukidanje bilo koje instance GNU Debuggera (GDB) na koju naiđe.
Ova poboljšanja čine profesionalcima u oblasti bezbjednosti mnogo izazovnijim da analiziraju i ublaže prijetnju.
Konfiguracija zlonamjernog softvera je također ažurirana kako bi uključila šifrovano podešavanje rudarenja, koje pokreće ugrađeni XMRig rudar.
Primjetno je da najnovija verzija RedTaila ne sadrži novčanik za kriptovalute, što sugeriše da su se hakeri prebacili na korištenje privatnih rudarskih bazena ili proxy servera.
Ova promjena im omogućava veću kontrolu nad ishodima rudarenja uprkos povećanim operativnim i finansijskim troškovima održavanja privatnog servera.
Uticaj RedTaila nije ograničen na firewall Palo Alto Networks. Zlonamjerni softver je također primijećen kako iskorištava druge poznate ranjivosti na različitim uređajima i softveru, uključujući TP-Link rutere ( CVE-2023-1389 ), ThinkPHP (CVE-2018-20062), Ivanti Connect Secure ( CVE-2023-46805 i CVE- 2024-21887) i VMWare Workspace ONE Access and Identity Manager ( CVE-2022-22954 ).
Ovaj raspon ciljeva naglašava svestranost zlonamjernog softvera i široko znanje napadača o različitim sistemima.
RedTail je prvi put dokumentovao u januaru 2024. istraživač sigurnosti Patryk Machowiak, koji je identifikovao njegovu upotrebu u kampanji koja iskorištava ranjivost Log4Shell ( CVE-2021-44228 ) za postavljanje zlonamjernog softvera na sisteme zasnovane na Unixu.
Od tada je zlonamjerni softver značajno evoluisao. U martu 2024., Barracuda Networks je prijavio sajber napade koji su iskoristili nedostatke u SonicWall-u (CVE-2019-7481) i DVR-u Visual Tools (CVE-2021-42071) za instaliranje Mirai botnet varijanti i implementaciju RedTail-a.
Najnovija verzija otkrivena u aprilu 2024. uključuje značajna ažuriranja, kao što je upotreba RandomX algoritma za veću efikasnost rudarenja i modifikacije konfiguracije operativnog sistema za korištenje većih memorijskih blokova (ogromnih stranica), poboljšavajući performanse.
Iako Akamai nije pripisao RedTail zlonamjerni softver nijednoj određenoj grupi, sofisticiranost i resursi potrebni za rad privatnog bazena za kriptominiranje sugerišu umiješanost grupe koju sponzoriše nacionalna država.
Taktike koje koriste hakeri odražavaju one koje koristi sjevernokorejska Lazarus Group, poznata po svojim profitnim hakerskim operacijama i krađama kriptovaluta.
Iskorištavanje CVE-2024-3400 ranjivosti od strane RedTail kriptomajnera naglašava kritičnu potrebu organizacija da odmah primjenjuju sigurnosne zakrpe i ažuriranja.
Izvor: CyberSecurityNews
