RedTail kripto para madenciliği kötü amaçlı yazılımının, Palo Alto Networks’ün güvenlik duvarı yazılımı PAN-OS’taki kritik bir sıfır gün güvenlik açığından yararlandığı gözlemlendi.
CVE-2024-3400 olarak takip edilen bu güvenlik açığının CVSS puanı 10,0 olup ciddiyetini göstermektedir. Bu kusur, kimliği doğrulanmamış saldırganların, etkilenen güvenlik duvarı sistemlerinde kök ayrıcalıklarıyla rastgele kod yürütmesine olanak tanıyor ve ağ güvenliği için bu cihazlara güvenen kuruluşlar için önemli bir tehdit oluşturuyor.
Yararlanma süreci, saldırganların güvenlik duvarına yetkisiz erişim sağlamak için CVE-2024-3400 güvenlik açığından yararlanmasıyla başlar.
Erişim elde edildikten sonra saldırganlar, harici bir etki alanından bir bash kabuk betiğini almak ve çalıştırmak için komutları çalıştırır.
Hepsi Bir Arada Siber Güvenlik Platformu MSP’lerin tek bir araçla tam ihlal koruması sağlaması için Tam Demoyu İzleyin
Bu komut dosyası, ele geçirilen sistemin CPU mimarisine göre uyarlanmış RedTail yükünün indirilmesinden sorumludur.
Kötü amaçlı yazılım daha sonra kripto para madenciliği yapmak için sistemin kaynaklarını kullanarak kripto madencilik operasyonlarını başlatır.
İleri Teknikler ve Kaçınma
RedTail’in en son sürümü, tespit ve analizden kaçınmak için çeşitli gelişmiş teknikleri içerir.
Akamai’nin güvenlik araştırmacılarına göre, kötü amaçlı yazılım artık hata ayıklama çabalarını engellemek için kendisini birden çok kez çatallamak ve karşılaştığı GNU Hata Ayıklayıcı’nın (GDB) örneklerini sonlandırmak gibi yeni anti-analiz özellikleri içeriyor.
Bu geliştirmeler, güvenlik profesyonellerinin tehdidi analiz etmesini ve azaltmasını daha da zorlaştırıyor.
Kötü amaçlı yazılımın yapılandırması, yerleşik XMRig madencisini başlatan şifreli bir madencilik kurulumunu içerecek şekilde güncellendi.
Özellikle RedTail’in en son sürümünün bir kripto para birimi cüzdanı içermemesi, tehdit aktörlerinin özel madencilik havuzları veya havuz proxy’leri kullanmaya yöneldiğini gösteriyor.
Bu değişiklik, özel bir sunucunun bakımının artan operasyonel ve finansal maliyetlerine rağmen madencilik sonuçları üzerinde daha fazla kontrol sahibi olmalarını sağlıyor.
RedTail’in etkisi Palo Alto Networks güvenlik duvarlarıyla sınırlı değildir. Kötü amaçlı yazılımın ayrıca TP-Link yönlendiricileri (CVE-2023-1389), ThinkPHP (CVE-2018-20062), Ivanti Connect Secure (CVE-2023-46805 ve CVE-2023-46805) dahil olmak üzere çeşitli cihaz ve yazılımlardaki bilinen diğer güvenlik açıklarından yararlandığı da gözlemlendi. 2024-21887) ve VMWare Workspace ONE Erişim ve Kimlik Yöneticisi (CVE-2022-22954).
Bu hedef aralığı, kötü amaçlı yazılımın çok yönlülüğünü ve saldırganların farklı sistemler hakkındaki kapsamlı bilgisini vurguluyor.
RedTail ilk olarak Ocak 2024’te, kötü amaçlı yazılımı Unix tabanlı sistemlere dağıtmak için Log4Shell güvenlik açığından (CVE-2021-44228) yararlanan bir kampanyada kullanıldığını tespit eden güvenlik araştırmacısı Patryk Machowiak tarafından belgelendi.
O zamandan beri kötü amaçlı yazılım önemli ölçüde gelişti. Mart 2024’te Barracuda Networks, Mirai botnet çeşitlerini yüklemek ve RedTail’i dağıtmak için SonicWall (CVE-2019-7481) ve Visual Tools DVR’deki (CVE-2021-42071) kusurlardan yararlanan siber saldırılar bildirdi.
Nisan 2024’te tespit edilen en son sürüm, daha yüksek madencilik verimliliği için RandomX algoritmasının kullanılması ve daha büyük bellek bloklarını (büyük sayfalar) kullanarak performansı artıran işletim sistemi yapılandırmasında yapılan değişiklikler gibi önemli güncellemeleri içeriyor.
Akamai, RedTail kötü amaçlı yazılımını belirli bir gruba atfetmese de, özel bir kripto madenciliği havuzunu işletmek için gereken karmaşıklık ve kaynaklar, ulus devlet destekli bir grubun olaya dahil olduğunu gösteriyor.
Tehdit aktörlerinin kullandığı taktikler, kâr amacı güden bilgisayar korsanlığı operasyonları ve kripto para birimi hırsızlıklarıyla tanınan Kuzey Kore’deki Lazarus Grubu’nun kullandığı taktikleri yansıtıyor.
RedTail kripto madencisinin CVE-2024-3400 güvenlik açığından yararlanması, kuruluşların güvenlik yamalarını ve güncellemelerini derhal uygulamasına yönelik kritik ihtiyacın altını çiziyor.
IOC’ler
| Gösterge türü | Gösterge değeri |
|---|---|
| Kaynak IP adreslerinden yararlanır | 92.118.39.120193.222.96.16379.110.62.2534.127.194.11192.18.157.25168.170.165.3694.74.75.19 |
| Kötü amaçlı yazılım barındırma sunucuları | 193.222.96.16394.156.79.6094.156.79.129185.216.70.13878.153.140.51 |
| Alan isimleri | proxy’ler.identitynetwork.top |
ANY.RUN Sandbox’tan özel teklifler alın. 31 Mayıs’a kadar 6 aylık ücretsiz hizmet veya ekstra lisans alın. Ücretsiz kaydol.