RedTail: призрачный майнер атакует брандмауэры, скрываясь в криптовалютных пулах

Злоумышленники, стоящие за вредоносным ПО RedTail, добавили недавно обнаруженную уязвимость в брандмауэрах Palo Alto Networks в свой арсенал атак. В результате обновлений, вредоносное ПО теперь включает новые техники защиты от анализа, что подтверждают эксперты из компании Akamai , специализирующейся на веб-инфраструктуре и безопасности.

Специалисты по безопасности Райан Барнетт, Стив Купчик и Максим Заводчик в своём техническом отчёте отметили, что атакующие сделали шаг вперёд, используя частные криптовалютные майнинговые пулы для большего контроля над результатами майнинга, несмотря на возросшие операционные и финансовые затраты.

Атака начинается с использования уязвимости в PAN-OS с идентификатором CVE-2024-3400, которая позволяет неавторизованному злоумышленнику выполнять произвольный код с правами суперпользователя на брандмауэре . После успешного взлома, выполняются команды, предназначенные для загрузки и запуска bash-скрипта с внешнего домена, который затем скачивает вредоносное ПО RedTail в зависимости от архитектуры процессора.

RedTail также использует и другие механизмы распространения, эксплуатируя известные уязвимости в маршрутизаторах TP-Link ( CVE-2023-1389 ), ThinkPHP ( CVE-2018-20062 ), Ivanti Connect Secure ( CVE-2023-46805 и CVE-2024-21887 ), а также VMWare Workspace ONE Access и Identity Manager ( CVE-2022-22954 ).

Первое упоминание о RedTail появилось в январе 2024 года, когда исследователь безопасности Патрик Маховяк задокументировал кампанию, использующую уязвимость Log4Shell ( CVE-2021-44228 ) для внедрения вредоносного ПО на системы на базе Unix.

В марте 2024 года компания Barracuda Networks раскрыла детали кибератак, эксплуатирующих уязвимости в SonicWall ( CVE-2019-7481 ) и Visual Tools DVR ( CVE-2021-42071 ) для установки вариантов ботнета Mirai, а также недостатки в ThinkPHP для развёртывания RedTail.

Последняя версия майнера, обнаруженная в апреле, включает значительные обновления, такие как зашифрованная конфигурация, используемая для запуска встроенного майнера XMRig. Также в экземпляре отсутствует жёстко запрограммированный криптовалютный кошелёк, что может свидетельствовать о переходе злоумышленников на частные майнинговые пулы или прокси-пулы.

Эксперты отметили, что последняя конфигурация вредоноса показывает стремление злоумышленников оптимизировать процесс майнинга, в том числе благодаря использованию продвинутых техник уклонения и устойчивости. Всё это свидетельствует о глубоком понимании хакерами принципов работы криптомайнинга.

Akamai охарактеризовала RedTail как высококачественное вредоносное ПО, что редко встречается среди семейств майнеров криптовалют. Точные личности злоумышленников пока неизвестны, однако использование частных майнинговых пулов напоминает тактику, применяемую северокорейской группой Lazarus, которая известна широкомасштабными кибератаками с целью финансовой выгоды.