Geçtiğimiz yılın en büyük kripto madencilik operasyonu olan RedTail kripto madenciliğinin operatörleri, kurbanlarını hedef almak için artık Palo Alto PAN-OS CVE-2024-3400 güvenlik açığından yararlanmaya başladı.
Bulut bilişim şirketi Akamai tarafından hazırlanan bir rapora göre, hacker saldırı vektörünü Palo Alto PAN-OS güvenlik açığını da içerecek şekilde genişletti, ancak RedTail varyantının kullandığı gelişmiş ve kaçınma teknikleri bu kampanyada dikkat çekiciydi.
RedTail kripto madenciliğinin evrimi, özellikle personel, altyapı ve gelişmiş gizleme teknikleri olmak üzere doğrudan kaynaklara yatırım yapılmasına işaret ediyor.
Tehdit aktörünün enfeksiyon zinciri, CVE-2024-3400 güvenlik açığının benimsenmesi ve özel kripto madencilik havuzlarının operasyonlarına dahil edilmesiyle başlıyor.
RedTail Cryptominer Özel Kripto Madencilik Havuzlarından Yararlanıyor
Akamai’ye göre RedTail kripto madenciliğinin arkasındaki kişiler, daha yüksek operasyonel ve finansal maliyetlere yol açsa da madencilik faaliyetleri üzerinde daha fazla kontrole sahip olmak için “özel kripto madencilik havuzlarını” kullanmayı tercih etti. Araştırmaya göre bu kampanyada kullanılan taktikler Lazarus grubunun kullandığı taktiklere çok benziyor.
Bu varyantın dikkate değer bir yönü, özel kripto madencilik havuzlarının kullanılmasıdır. Saldırganlar da bu özel havuzları kullanarak diğer popüler tehdit grupları gibi operasyonları üzerinde daha iyi kontrol ve güvenliğe sahip olabiliyor.
Özel havuzlara doğru olan bu değişim, kripto madencilik faaliyetlerinde daha koordineli ve kasıtlı bir strateji öneriyor ve bu da ulus devlet aktörlerinin dahil olma olasılığını artırıyor.
Sistem ve kullanıcı istemlerini birleştirmenin amacı, orijinal içeriğin amacını ve doğruluğunu korurken, asistanın metni hassaslaştırmasına ve bir insan tarafından yazılmış gibi görünmesini sağlamasına yardımcı olmaktır.
RedTail Cryptominer: Sinsi ve Gizli
RedTail kripto madencisi, konu radarın altından uçmak ve güvenliği ihlal edilmiş sistemler üzerinde hakimiyetini sürdürmek olduğunda hiç de amatör değil. Araştırma karşıtı önlemler gibi akıllı taktikler kullanır ve XMRig kripto madenciliği kodunu ekstra şifreleme ve mantık katmanlarıyla harmanlar.
Sistem ve kullanıcı istemlerinin bu sinsi kombinasyonu, orijinal içeriğin amacına ve doğruluğuna sadık kalarak, asistanın metni daha doğal ve ilişkilendirilebilir bir versiyona dönüştürme becerilerini geliştirmek için tasarlanmıştır. O halde gelin RedTail kripto madencisinin sırlarına dalalım ve ortaya çıkaralım!
Bu kötü amaçlı yazılım, konu kripto madenciliği olduğunda gerçekten işini biliyor. Operasyonlarını mümkün olduğunca verimli ve karlı olacak şekilde optimize eder. Amaç, sistem ve kullanıcı istemlerinin bir kombinasyonunu kullanarak, asistanın metni orijinal içeriğin amacına ve doğruluğuna sadık kalarak daha insana benzeyen bir şeye dönüştürmesine yardımcı olmaktır.
RedTail’in arkasındaki aktörler, PAN-OS CVE-2024-3400 güvenlik açığından yararlanmanın yanı sıra, farklı cihaz ve platformlardaki çeşitli diğer güvenlik açıklarını da hedefliyor.
Bu, SSL-VPN’leri, IoT cihazlarını, web uygulamalarını ve Ivanti Connect Secure gibi güvenlik cihazlarını hedef alan istismarları kapsar.
Akamai Uygulaması ve API Koruyucusu Nasıl Kullanılır?
Akamai, ek güvenlik özellikleri için Akamai Uygulaması ve API Koruyucusu’nu önerir ve tüm Palo Alto cihazlarını tanımlar ve RedTail kripto madenciliğini önlemek için onlara yama yapar. Kullanıcılar ayrıca cihazlarını web platformu saldırıları, komut enjeksiyonları ve yerel dosya ekleme gibi siber saldırılara karşı da güçlendirebilirler.
Ek olarak, RedTail geliştiricileri yalnızca PAN-OS CVE-2024-3400 güvenlik açığına güvenmek yerine, farklı platform ve cihazlardaki diğer bazı güvenlik açıklarından da yararlanıyor. Bunlar, SSL VPN’lere, IoT ürünlerine, web uygulamalarına ve ayrıca Ivanti Connect Secure gibi güvenlik cihazlarına yönelik ihlalleri içerir.