RedTail 僵尸网络积极利用新漏洞发起攻击

RedTail 僵尸网络积极利用新漏洞发起攻击自从 Palo Alto 的 PAN-OS 漏洞公开披露以来,研究人员发现已有攻击者将该漏洞纳入武器库中。
CVE-2024-3400
2024 年 4 月 11 日&#xff

自从Palo Alto PAN-OS 漏洞被披露以来,研究人员发现攻击者正在将这一缺陷融入到他们的武器中。

CVE-2024-3400

2024 年4 月11 日,帕洛阿尔托宣布,基于PAN-OS 的产品中的一个零日漏洞被攻击者利用,安全公司Volexity 发现了该攻击。

该漏洞允许攻击者创建任意文件并以root 用户权限执行命令。具体来说,SESSID cookie 设置为特定值,PAN-OS 使用该值创建文件。因此,结合路径遍历技术,攻击者可以控制文件名和文件存储的目录。

Cookie: SESSID=/./././var/appweb/sslv-pndocs/global-protect/portal/images/poc.txt

此漏洞存在于某些版本的PAN-OS 的GlobalProtect 功能中。 Cloud NGFW、Panorama 设备和Prisma Access 不受此漏洞影响。

观察到的攻击

漏洞被披露后,通常会尝试许多非恶意攻击。特别是当存在公共POC 时,由于许多研究人员自己进行测试,攻击活动显着增加。根据研究人员的分析,大多数利用此漏洞的攻击都会尝试写入虚拟文件,但最近尝试通过各种IP 地址下载并运行bash 脚本的攻击有所增加。

典型的攻击

检查bash 脚本表明,攻击者识别了受害者的处理器架构并下载了相应的二进制文件。这种行为在构建专注于DDoS 和挖矿的僵尸网络中非常常见。

恶意bash 脚本

该恶意软件名为.redtail,与CSA 今年早些时候发布的恶意软件相同。 CSA 于2023 年12 月发现了该僵尸网络,并使用恶意软件的文件名将其命名为RedTail。业界还发现恶意软件通过Log4j的漏洞进行传播,然后挖掘门罗币。

挖掘加密货币

下载的恶意软件与CSA 发布的恶意软件类似,是包含UPX 的XMRig 挖矿程序的变种。

采矿计划

然而,与典型的僵尸网络不同的是,RedTail 将XMRig 代码嵌入到自己的恶意软件代码中,而不是通过网络请求检索挖矿程序配置信息。

攻击者修改了挖矿程序代码并对配置文件进行了加密。配置文件仅在XMRig 启动时解密。配置文件如下所示:

{

“自动保存”: 正确,

\’opencl\’: 假,

\’cuda\’: 假,

\’CPU\’: {

“启用”: 真,

\’huge-pages\’: 正确,

\’最大线程提示\’ : 95

},

\’随机x\’: {

\’模式\’: \’自动\’,

\’1gb-pages\’: 正确,

\’rdmsr\’: 假,

“wrmsr”: 正确

},

\’池\’: [

{

\’nicehash\’: 正确,

\’url\’:\’proxies.identitynetwork.top:2137\’

},

{

\’nicehash\’: 正确,

\’网址\’:\’193.222.96.163:2137\’

},

{

\’nicehash\’: 正确,

\’网址\’:\’185.216.70.138:2137\’

},

{

\’nicehash\’: 正确,

\’网址\’:\’78.153.140.51:2137\’

}

]

}

攻击者运营他们控制的矿池或矿池代理,并且不使用公共矿池。维护私人矿池或矿池代理会增加运营成本,但可以更轻松地控制采矿结果。

深入了解挖矿

攻击者尽可能优化了他们的挖矿操作,并使用了新的RandomX 算法。该算法可以利用NUMA节点来提高效率,当结合大规模页面配置变化时,可以提高性能1%到3%。

与2024 年初发布的RedTail 变种不同,该恶意软件使用更复杂的规避和持久性技术。它调试进程并阻止分析,终止检测到的GDB 进程,并通过cron 作业在系统重新启动后继续运行。

坚持

有针对性的攻击

纵观所有攻击,我们发现攻击者针对的是各种其他漏洞,包括2024 年初发布的Ivanti Connect Secure SSL-VPN CVE-2023-46805 和CVE-2024-21887。

CVE-2023-46805

CVE-2024-21887

何方神圣?

2024 年1 月,GreyNoise 观察到一个针对Ivanti SSL-VPN 漏洞的挖矿僵尸网络。但经过分析,分析人士确认该僵尸网络的攻击方式与GreyNoise披露的不同,且两个攻击者也不是同一个人。

其他漏洞

僵尸网络利用的其他漏洞包括:

TP-LINK CVE-2023-1389VMWare Workspace ONE 访问和身份管理器CVE-2022-22954ThinkPHP 文件包含和远程执行漏洞ThinkPHP 远程代码执行漏洞

CVE-2023-1389

ThinkPHP文件包含和远程执行漏洞

CVE-2018-20062

该恶意软件还包含许多不同的URL 嵌入字符串,这些字符串在运行时加密和解密存储。这些路径涵盖了PHPUnit 漏洞(CVE-2017-9841) 和各种CGI-Bin 远程代码执行漏洞,但这些漏洞均未被利用。

其他漏洞

漏洞利用趋势

跟踪数据表明,至少早在4 月21 日,攻击中就利用了PAN-OS 漏洞。

漏洞利用趋势

总结

RedTail 正在更新其在实现私人矿池隐形方面的进展,类似于Lazarus Group 的战略。 VulDB CTI 团队提到了一次针对PAN-OS 漏洞(CVE-2024-3400) 的实际攻击,该攻击可能与2024 年4 月13 日的Lazarus 活动有关。

IOC

92.118.39.120

193.222.96.163

79.110.62.25

34.127.194.11

192.18.157.251

68.170.165.36

94.74.75.19

193.222.96.163

94.156.79.60

94.156.79.129

185.216.70.138

78.153.140.51

代理.身份网络.顶部

参考来源

阿卡迈

#以上RedTail僵尸网络主动利用新漏洞发起攻击的相关内容来源仅供参考。相关信息请参见官方公告。

原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/91476.html

(0)
CSDN's avatarCSDN
上一篇 2024年6月22日 上午10:18
下一篇 2024年6月22日 上午10:36

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注