Злоумышленники, использующие вредоносное ПО для криптомайнинга RedTail, расширили свой арсенал, включив в него недавно обнаруженную уязвимость CVE-2024-3400 в Palo Alto PAN-OS. Они также применяют новые методы антирасследования и используют множество различных эксплойтов, нацеленных на устройства Интернета вещей, веб-приложения, SSL-VPN и устройства безопасности. Конкретные серверы, обслуживающие этот вариант вредоносного ПО, были активны с апреля по май 2024 года, а инфраструктура доставки вредоносного ПО опирается на множество несвязанных серверов, размещенных у различных хостинговых компаний.
Уязвимость CVE-2024-3400 в PAN-OS позволяет злоумышленникам создавать произвольные файлы и выполнять команды с привилегиями пользователя root. Уязвимость заключается в функции GlobalProtect в некоторых версиях PAN-OS. Злоумышленники использовали эту уязвимость для получения контроля над результатами добычи криптовалюты.
Indicators of Compromise
IPv4
- 185.216.70.138
- 192.18.157.251
- 193.222.96.163
- 34.127.194.11
- 68.170.165.36
- 78.153.140.51
- 79.110.62.25
- 92.118.39.120
- 94.156.79.129
- 94.156.79.60
- 94.74.75.19
Domains
- proxies.identitynetwork.top
