De dreigingsactoren achter de Rode staart Cryptocurrency mining-malware heeft een onlangs onthuld beveiligingslek dat van invloed is op de firewalls van Palo Alto Networks aan zijn exploitarsenaal toegevoegd.
De toevoeging van de PAN-OS-kwetsbaarheid aan de toolkit is aangevuld met updates voor de malware, die nu nieuwe anti-analysetechnieken bevat, volgens bevindingen van webinfrastructuur- en beveiligingsbedrijf Akamai.
“De aanvallers hebben een stap voorwaarts gezet door particuliere cryptominingpools in te zetten voor meer controle over de mijnresultaten, ondanks de hogere operationele en financiële kosten”, aldus beveiligingsonderzoekers Ryan Barnett, Stiv Kupchik en Maxim Zavodchik in een technisch rapport gedeeld met The Hacker. Nieuws.
De door Akamai ontdekte infectiereeks maakt misbruik van een inmiddels gepatchte kwetsbaarheid in PAN-OS, bijgehouden als CVE-2024-3400 (CVSS-score: 10.0), waardoor een niet-geverifieerde aanvaller willekeurige code met rootrechten op de firewall kan uitvoeren.
Een succesvolle exploitatie wordt gevolgd door het uitvoeren van opdrachten die zijn ontworpen om een bash-shellscript op te halen en uit te voeren van een extern domein dat op zijn beurt verantwoordelijk is voor het downloaden van de RedTail-payload op basis van de CPU-architectuur.
Andere verspreidingsmechanismen voor RedTail omvatten het misbruik van bekende beveiligingsfouten in TP-Link-routers (CVE-2023-1389), ThinkPHP (CVE-2018-20062), Ivanti Connect Secure (CVE-2023-46805 en CVE-2024-21887) en VMWare Workspace ONE Access and Identity Manager (CVE-2022-22954).
RedTail werd voor het eerst gedocumenteerd door beveiligingsonderzoeker Patryk Machowiak in januari 2024 met betrekking tot een campagne die misbruik maakte van de Log4Shell-kwetsbaarheid (CVE-2021-44228) om de malware op Unix-gebaseerde systemen te implementeren.
Vervolgens maakte Barracuda Networks in maart 2024 details bekend over cyberaanvallen waarbij gebruik werd gemaakt van fouten in SonicWall (CVE-2019-7481) en Visual Tools DVR (CVE-2021-42071) om Mirai-botnetvarianten te installeren, evenals tekortkomingen in ThinkPHP om RedTail in te zetten.
De nieuwste versie van de mijnwerker die in april werd ontdekt, bevat belangrijke updates, omdat deze een gecodeerde mijnbouwconfiguratie bevat die wordt gebruikt om de ingebedde XMRig-mijnwerker te starten.
Een andere opmerkelijke verandering is de afwezigheid van een cryptocurrency-portemonnee, wat erop wijst dat de dreigingsactoren mogelijk zijn overgestapt naar een private mining pool of een pool proxy om financiële voordelen te behalen.
“De configuratie laat ook zien dat de bedreigingsactoren de mining-operatie zoveel mogelijk proberen te optimaliseren, wat wijst op een diep begrip van crypto-mining”, aldus de onderzoekers.
“In tegenstelling tot de vorige RedTail-variant die begin 2024 werd gerapporteerd, maakt deze malware gebruik van geavanceerde ontwijkings- en persistentietechnieken. Het splitst zichzelf meerdere keren om de analyse te belemmeren door het proces te debuggen en doodt elk exemplaar van (GNU Debugger) dat het vindt.”
Akamai beschreef RedTail als een hoog niveau van glans, een aspect dat niet vaak wordt waargenomen bij malwarefamilies voor cryptocurrency-miners die in het wild voorkomen.
“De investeringen die nodig zijn om een particuliere cryptomining-operatie uit te voeren zijn aanzienlijk, inclusief personeel, infrastructuur en verduistering”, concludeerden de onderzoekers. “Deze verfijning kan een aanwijzing zijn voor een door de natiestaat gesponsorde aanvalsgroep.”
