详细内容或原文请订阅后点击阅览
RedTail:幽灵矿工通过隐藏在加密货币池中攻击防火墙
专家已经指出哪个黑客组织可能是恶意软件传播的幕后黑手。
来源:安全实验室新闻频道专家已经指出哪个黑客组织可能是恶意软件传播的幕后黑手。
RedTail 恶意软件背后的攻击者在其攻击武器库中添加了 Palo Alto Networks 防火墙中新发现的漏洞。 Web 基础设施和安全公司 Akamai 的专家证实,经过更新,该恶意软件现在包含新的反分析技术。
帕洛阿尔托网络 确认 阿卡迈安全研究人员 Ryan Barnett、Steve Kupchik 和 Maxim Zavodchik 在他们的技术报告中指出,尽管运营和财务成本增加,但攻击者通过使用私人加密货币采矿池来获得对采矿结果的更大控制,从而向前迈出了一步。
攻击首先利用 PAN-OS 中 ID 为 CVE-2024-3400 的漏洞,该漏洞允许未经身份验证的攻击者在防火墙上以 root 权限执行任意代码。成功破解后,执行命令从外部域下载并运行 bash 脚本,然后根据处理器架构下载 RedTail 恶意软件。
CVE-2024-3400, 以 root 身份执行任意代码 防火墙RedTail 还使用其他分发机制,利用 TP-Link 路由器 (CVE-2023-1389)、ThinkPHP (CVE-2018-20062)、Ivanti Connect Secure(CVE-2023-46805 和 CVE-2024-21887)中的已知漏洞),以及 VMWare Workspace ONE 访问和身份管理器 (CVE-2022-22954)。
CVE-2023-1389 CVE-2018-20062 CVE-2023-46805 CVE-2024-21887 CVE-2022-22954RedTail 首次被提及是在 2024 年 1 月,当时安全研究员 Patrick Machowiak 记录了一场利用 Log4Shell 漏洞 (CVE-2021-44228) 将恶意软件注入基于 Unix 的系统的活动。
已记录 CVE-2021-44228 展开 CVE-2019-7481 CVE-2021-42071