На honeypots точках SIRT в течение нескольких дней после раскрытия уязвимости CVE-2024-4577 была обнаружена операция криптомайнинга RedTail.
Злоумышленник использовал недостаток мягкого дефиса с "%ADd", чтобы отправить запрос, похожий на предыдущие операции RedTail, и выполнить запрос wget для загрузки shell-скрипта. Этот скрипт делал дополнительный запрос на IP-адрес в России, чтобы получить вредоносную программу для криптомайнинга RedTail. Скрипт оболочки загружал файл майнера через wget или curl, и, если это не сработало, использовал необработанное TCP-соединение. Затем он искал каталоги с правами на чтение, запись и выполнение, чтобы загрузить и выполнить свою полезную нагрузку в зависимости от архитектуры системы. Архитектуры, присутствующие в сценарии оболочки, не применимы к устройствам Windows, что указывает на то, что злоумышленники используют общие сценарии и не адаптируют их к данной уязвимости в частности.
Indicators of Compromise
IPv4
- 185.172.128.93
SHA256
- 0d70a044732a77957eaaf28d9574d75da54ae430d8ad2e4049bd182e13967a6f
- 19a06de9a8b66196fa6cc9e86824dee577e462cbeaf36d715c8fea5bcb08b54d
- 2c602147c727621c5e98525466b8ea78832abe2c3de10f0b33ce9a4adea205eb
- 9753df3ea4b9948c82310f64ff103685f78af85e3e08bb5f0d0d44047c63c315
- ab897157fdef11b267e986ef286fd44a699e3699a458d90994e020619653d2cd
