SOC Prime Bias: Critico

30 Apr 2026 14:12 UTC

Libredtail sfrutta CVE-2024-4577 per il cryptomining

Author Photo
SOC Prime Team linkedin icon Segui
Libredtail sfrutta CVE-2024-4577 per il cryptomining
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

L’articolo descrive una campagna di cryptomining che coinvolge la famiglia di malware redtail, la quale viene distribuita tramite richieste HTTP che sfruttano CVE-2024-4577 in PHP. Gli attori malevoli inviano payload codificati in Base64 che recuperano ed eseguono uno script auto-replicante denominato cve_2024_4577.selfrep. L’attività è mirata ai server web vulnerabili ed è accompagnata da tentativi di accesso SSH che si basano su credenziali predefinite per ampliare l’accesso.

Indagine

Il ricercatore ha osservato diversi indirizzi IP dalla Germania, dal Regno Unito e dall’India inviare una sequenza di quattro richieste HTTP POST progettate per passare a /bin/sh, usare wget or curl per scaricare uno script shell e attivare la CVE-2024-4577 sfruttamento. Se riuscito, l’attacco lascia un file binario nascosto .redtail e termina i servizi di cryptomining concorrenti già in esecuzione sull’host. L’indagine ha anche registrato tentativi di accesso SSH usando credenziali come admin/admin, insieme ad attività di scansione SYN.

Mitigazione

Le organizzazioni dovrebbero aggiornare le installazioni PHP a versioni che affrontano CVE-2024-4577, bloccare l’agente utente libredtail-http perimetrale, e distribuire regole WAF che negano le richieste contenenti /sh o il modello noto di payload di exploit. L’accesso SSH dovrebbe essere rafforzato imponendo l’autenticazione basata su chiavi e disabilitando credenziali deboli o predefinite. È anche consigliato monitorare il traffico in uscita sospetto verso indirizzi IP sconosciuti.

Risposta

Quando vengono attivati rilevamenti, i difensori dovrebbero isolare il sistema interessato, raccogliere artefatti forensi come lo cve_2024_4577.selfrep script e il .redtail file binario, e rimuovere qualsiasi cron job o attività pianificate create dal malware. I team di sicurezza dovrebbero quindi inventariare le applicazioni PHP su tutto l’ambiente e applicare le patch necessarie. I log SSH dovrebbero anche essere esaminati per segni di abuso delle credenziali o accessi non autorizzati.

Flusso di Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo di Telemetria e Baseline Pre-volo deve essere superato.

Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare l’esatta telemetria prevista dalla logica di rilevamento.

  • Narrativa dell’Attacco e Comandi:
    Un avversario ha ottenuto una posizione su un server web compromesso e desidera stabilire persistenza utilizzando il Libredtail‑HTTP web‑shell. Creano un HTTP POST dannoso che:

    1. Usa l’agente utente distintivo libredtail‑http (aiuta il malware a identificare il proprio traffico).
    2. Include una query URL con /bin/sh per indicare una richiesta di esecuzione comandi e la direttiva PHP allow_url_include=1 per consentire l’inclusione di codice remoto.
    3. Invia un payload codificato in base64 nel corpo della richiesta che contiene il codice PHP <?php system($_GET['cmd']); ?> (offuscamento – T1027).
    4. Imposta un’intestazione personalizzata Script-Execution: apache.selfrep che Libredtail‑HTTP usa internamente per auto-replicarsi (corrisponde a script_execution|contains).

    Il server, durante l’elaborazione di questa richiesta, decodifica il payload, scrive un file PHP dannoso nella root web e successivamente esegue comandi ricevuti via /bin/sh, stabilendo un canale crittografato di ritorno all’attaccante (T1573).

  • Script di Test Regressivo:

    #!/usr/bin/env bash
    # -------------------------------------------------
    # Simulazione di richiesta malevola Libredtail-HTTP
    # -------------------------------------------------
    TARGET="http://localhost/upload.php"
    USER_AGENT="libredtail-http"
    MALICIOUS_PAYLOAD=$(echo -n '' | base64)
    
    curl -X POST "$TARGET?dir=/bin/sh&allow_url_include=1" 
         -H "User-Agent: $USER_AGENT" 
         -H "Script-Execution: apache.selfrep" 
         -H "Content-Type: application/x-www-form-urlencoded" 
         --data "payload=$MALICIOUS_PAYLOAD&marker=cve_2024_4577.selfrep"
    # La richiesta dovrebbe creare/sovrascrivere una web‑shell PHP sul server.

    Esegui lo script su una macchina che può raggiungere il server web di destinazione. Dopo l’esecuzione, verifica che l’allerta scatti nel SIEM.

  • Comandi di Ripristino:

    #!/usr/bin/env bash
    # Rimuovere la web‑shell PHP dannosa creata dal test
    CLEANUP_TARGET="http://localhost/cleanup.php"
    
    curl -X POST "$CLEANUP_TARGET" 
         -H "User-Agent: libredtail-http" 
         -d "file=uploaded_shell.php"

    L’endpoint di ripristino si presume esista per scopi di test; sostituire con comandi appropriati di rimozione file‑system se si ha accesso diretto all’host.