根据Web基础设施和安全公司Akamai的调查结果,RedTail加密货币挖矿恶意软件的威胁行为者在其工具包中新增了一个最近披露的影响帕洛阿尔托网络防火墙的安全漏洞(CVE-2024-3400,CVSS评分:10.0),并且还更新了恶意软件,使其采用新的反分析技术。
Akamai发现,攻击者利用PAN-OS中的这一漏洞,在防火墙上执行具有根权限的任意代码。成功利用该漏洞后,攻击者会从外部域检索并运行bash shell脚本,该域基于CPU架构下载RedTail有效载荷。RedTail的传播机制还涉及利用TP-Link路由器(CVE-2023-1389)、ThinkPHP(CVE-2018-20062)、Ivanti Connect Secure(CVE-2023-46805和CVE-2024-21887)以及VMWare Workspace ONE Access和Identity Manager(CVE-2022-22954)中的已知漏洞。
RedTail首次被安全研究员Patryk Machowiak于2024年1月记录,当时其利用Log4Shell漏洞(CVE-2021-44228)在基于Unix的系统上部署恶意软件。2024年3月,梭子鱼网络披露了利用SonicWall(CVE-2019-7481)和Visual Tools DVR(CVE-2021-42071)中的漏洞来安装Mirai僵尸网络变体以及利用ThinkPHP漏洞部署RedTail的攻击细节。
最新版本的RedTail矿工于4月份检测到,包含重要更新,如启动嵌入式XMRig矿工的加密采矿配置。另一个显著变化是没有加密货币钱包,表明威胁行为者可能已转向私人矿池或池代理以获得经济利益。
研究人员指出,威胁行为者正试图尽可能优化采矿操作,显示出对加密采矿的深刻理解。与2024年初报道的RedTail变体不同,该恶意软件采用了先进的规避和持久性技术,例如多次分叉自己,通过调试其过程来阻碍分析,并杀死找到的任何GNU调试器实例。
Akamai描述RedTail为具有高水平抛光度的恶意软件,这在野外的加密货币矿工恶意软件家族中较为罕见。研究人员总结道:“运行私人加密采矿操作所需的投资是重要的,包括人员配备、基础设施和混淆。这种复杂性可能表明一个民族国家赞助的攻击组织。”
