RedTail : Analyse d'une campagne de cryptojacking avancée et défenses contre cette menace émergente

Séraphine Clairlune

RedTail : Une menace discrète mais coûteuse pour les systèmes informatiques

Dans un paysage cybermenaçé en constante évolution, le cryptojacking émerge comme une menace particulièrement insidieuse. Contrairement au ransomware qui paralyse les systèmes et exige une rançon, cette forme d’attaque silencieuse s’installe discrètement pour s’approprier les ressources de calcul des victimes. Au cours des trois derniers mois, l’observation de tentatives de déploiement du malware RedTail dans un honeypot DShield a révélé une campagne de cryptojacking particulièrement sophistiquée. Cette analyse technique examine en profondeur les tactiques, techniques et procédures (TTPs) employées par attaquers, explores les comportements uniques observés et propose des défenses concrètes pour protéger les systèmes contre cette menace émergente qui cible spécifiquement la cryptomonnaie Monero.

Comprendre le malware RedTail et son mode d’opération

RedTail représente une nouvelle génération de cryptojacking malware, d’abord observée début 2024, qui se distingue par son approche systématique et son attention particulière à la persistance et à l’évasion des défenses. Contrairement aux attaques plus rudimentaires qui se contentent d’injecter un script de minage, RedTail déploie une véritable campagne d’invasion avec des phases d’exploration, d’exploitation et de maintien de l’accès.

Le malware se concentre principalement sur l’extraction de Monero, une cryptomonnaie réputée pour son anonymat relatif, ce qui la rend particulièrement attractive pour les cybercriminels. L’accès initial est généralement obtenu par deux méthodes : soit par brute-forcing des identifiants SSH, soit en exploitant des vulnérabilités connues dans les systèmes. Une fois l’accès établi, les attaquants déploient des scripts spécifiques pour configurer l’environnement de minage et assurer la persistance de leur présence.

Ce qui rend RedTail particulièrement intéressant du point de vue défensif, c’est que ses TTPs évoluent rapidement, rendant les indicateurs de compromission (IOCs) traditionnels rapidement obsolètes. Les chercheurs ont déjà identifié plusieurs variations du même malware avec des hashes différents. C’est pourquoi l’analyse basée sur le framework MITRE ATT&CK s’avère particulièrement pertinente pour comprendre et contrer cette menace, car elle se concentre sur les comportements plutôt que sur les signatures spécifiques.

Cartographie des attaques RedTail selon le framework MITRE ATT&CK

Le framework MITRE ATT&CK fournit un langage commun pour décrire les techniques d’attaque utilisées par les adversaires. En observant la campagne RedTail à travers ce prisme, nous pouvons identifier une séquence d’actions cohérente qui révèle les intentions et les méthodes des attaquants. Cette cartographie permet aux équipes de sécurité de mieux comprendre les menaces et de développer des stratégies de détection et de réponse appropriées.

Phase PRE-ATT&CK : La préparation invisible

Les phases initiales de l’attaque, bien qu’elles ne soient pas toujours directement observables dans les journaux, laissent des traces révélatrices dans les systèmes compromis. L’analyse des logs du honeypot a permis de reconstituer ces phases préliminaires cruciales.

Techniques de reconnaissance actives

Les attaquants commencent par une phase de reconnaissance intensive, balayant des plages d’adresses IP à la recherche de services exposés. Cette technique, cataloguée sous T1595.001 (Scanning IP Block) dans le framework MITRE ATT&CK, leur permet d’identifier les cibles potentielles avant de passer à l’action. Dans le cas de RedTail, cette reconnaissance cible spécifiquement les systèmes avec des services SSH accessibles depuis Internet, indiquant une préparation ciblée plutôt qu’une attaque aléatoire.

Préparation et conditionnement des outils

Une fois les cibles identifiées, les attaquants procèdent à la weaponization de leurs outils. Cette phase, classée sous T1587.001 (Develop Capabilities – Malware), voit les attaquants développer ou conditionner leur payload malware pour le déploiement. Ils préparent ensuite ces capacités pour la livraison, technique référencée sous T1608.001 (Stage Capabilities – Upload Malware). Cette préparation méticuleuse explique en partie l’efficacité de RedTail : les attaquants ne se contentent pas de lancer une attaque brute, mais viennent avec des outils déjà adaptés à différentes configurations système.

Phase ATT&CK : L’invasion et le maintien de l’accès

La phase d’interaction active avec les systèmes cibles suit une séquence logique qui correspond aux phases de Deliver, Exploit, Control, Execute et Maintain du framework MITRE ATT&CK. Chacune de ces phases révèle des aspects distincts de la sophistication de l’attaque RedTail.

Livraison et accès initial

L’accès initial est obtenu principalement par deux méthodes complémentaires. La première, et la plus fréquemment observée, consiste en des tentatives de brute-forcing des connexions SSH, classées sous T1078.002 (Valid Accounts – Local Account). Dans notre honeypot, les attaquants ont finalement réussi en utilisant des identifiants validés, probablement obtenus précédemment par d’autres moyens ou par essai-erreur systématique.

Une fois l’accès établi, les attaquants exécutent rapidement des scripts de configuration, dont notamment clean.sh et setup.sh. Cette étape, référencée sous T1059.004 (Command and Scripting Interpreter – Unix Shell), prépare l’environnement pour le minage cryptojacking tout en éliminant d’éventuels concurrents.

Établissement de la persistance

L’un des aspects les plus préoccupants de RedTail est l’établissement de mécanismes de persistance robusts. Les attaquants implantent leurs propres clés SSH dans le fichier ~/.ssh/authorized_keys, technique classée sous T1098.004 (Account Manipulation – SSH Authorized Keys). Cette méthode leur permet de revenir sur le système à volonté, sans avoir à répéter les tentatives de brute-forcing, et contourne ainsi les contrôles de mot de passe traditionnels.

Évasion des défenses et découverte du système

Après l’installation initiale, les attaquants prennent des mesures spécifiques pour couvrir leurs traces. Ils suppriment des fichiers sensibles, technique cataloguée sous T1070.004 (Indicator Removal – File Deletion), pour effacer les preuves de leur présence. Parallèlement, ils interrogent les informations système pour confirmer la compatibilité avant de déployer RedTail, comportement référencé sous T1082 (System Information Discovery).

Cette double action révèle une conscience aiguë des mécanismes de détection : les attaquants cherchent à la fois à masquer leurs actions et à s’assurer que leur malware fonctionnera correctement dans l’environnement spécifique de la victime.

Exécution et communication avec les serveurs de minage

La phase finale de l’attaque voit le déploiement effectif du minage et l’établissement d’une communication avec les serveurs de pool de minage. Les systèmes infectés établissent du trafic sortant HTTPS (port 443) vers des serveurs de pool de minage malveillants, correspondant à la technique T1071.001 (Application Layer Protocol – Web Protocols). Ce trafic, chiffré et utilisant un port standard, rend sa détection particulièrement difficile pour les systèmes de sécurité traditionnels.

L’impact de cette activité, bien que souvent sous-estimé, est significatif : RedTail s’approprie les cycles CPU pour miner de la cryptomonnaie, technique référencée sous T1496.001 (Resource Hijacking – Compute Hijacking). Bien que discrète, cette activité crée des coûts financiers directs (pour les entreprises qui paient l’électricité) et des performances réduites pour les utilisateurs légitimes.

Observations uniques du honeypot : Comportements avancés de RedTail

Bien que RedTail ait été rapporté dans de multiples incidents, l’analyse détaillée des logs du honeypot a révélé plusieurs comportements particulièrement intéressants qui vont au-delà du cryptojacking standard. Ces observations fournissent des informations précieuses pour les défenseurs cherchant à identifier et contrer cette menace.

Accès SSH par force brute : Une porte d’entrée persistante

L’une des observations les plus significatives concerne la méthodologie d’accès initial. Les attaquants ont systématiquement tenté des connexions SSH par brute-forcing avant de déployer RedTail. Cette constatation confirme que les identifiants faibles représentent toujours un vecteur d’entrée actif et majeur, malgré les avertissements répétés des experts de sécurité. Dans de nombreux cas, l’accès final a été obtenu non pas par l’exploitation d’une vulnérabilité, mais par l’utilisation réussie d’identifiants préalablement devinés ou achetés sur le dark web.

Configuration scriptée du minage

Une fois l’accès obtenu, les attaquants ont uploadé et exécuté des scripts de configuration spécifiques, notamment setup.sh pour configurer le minage et clean.sh pour supprimer les processus concurrents. Cette approche scriptée indique un niveau de sophistication notable : les attaquants ne déploient pas simplement un outil générique, mais viennent avec une solution complète adaptée à différentes configurations système. Le script clean.sh, en particulier, révèle une volonté d’exclusivité : les attaquants s’assurent que RedTail est le seul processus de minage fonctionnant sur le système, maximisant ainsi leur profit potentiel.

Persistance via clés SSH implantées

L’établissement de clés SSH personnalisées dans le fichier authorized_keys représente l’une des techniques les plus efficaces observées. Cette méthode permet aux attaquants de maintenir un accès persistant au système sans avoir à répéter les tentatives de connexion par force brute. Elle présente plusieurs avantages pour les attaquants : elle contourne les mécanismes de blocage après plusieurs tentatives infructueuses, elle n’est pas détectée par les systèmes basés sur l’analyse de mots de passe, et elle permet un retour discret sur le système à tout moment.

Évasion des défenses par suppression de fichiers

Les logs enregistrés ont également révélé des commandes de suppression de fichiers exécutées peu après l’installation de RedTail. Ce comportement, classé sous T1070.001 (Indicator Removal – File Deletion) dans le MITRE ATT&CK, indique une conscience explicite des mécanismes de détection. Les attaquants tentent activement de masquer leurs traces en supprimant les fichiers de logs, les scripts d’installation, ou tout autre élément qui pourrait révéler leur présence ou leur méthode d’invasion.

Ces observations combinées montrent que RedTail représente bien plus qu’une simple attaque de cryptojacking. Les attaquants déploient véritablement une campagne d’invasion complète avec des mécanismes de persistance, une évasion active des défenses, et une élimination de la concurrence. Cette compréhension approfondie doit guider les stratégies de détection et de réponse des équipes de sécurité.

Stratégies de défense : Prévention et détection contre RedTail

La défense contre RedTail et les malwares de cryptojacking similaires nécessite une approche en deux temps : prévention proactive pour empêcher l’invasion initial, et détection/réponse active pour identifier et éliminer les compromissions qui auraient pu contourner les premières défenses. Cette approche multicouche représente la meilleure stratégie pour protéger les systèmes contre cette menace évolutive.

Prévention : La première ligne de défense

La prévention reste l’élément le plus crucial de la sécurité contre RedTail. En rendant l’invasion initiale plus difficile ou impossible, les organisations peuvent éviter la plupart des conséquences du cryptojacking. Plusieurs mesures techniques spécifiques s’avèrent particulièrement efficaces contre les vecteurs d’exploitation observés dans la campagne RedTail.

Durcissement de l’accès SSH

Étant donné que l’accès par force brute SSH constitue le vecteur principal observé pour RedTail, le durcissement des configurations SSH représente une mesure préventive essentielle. Les administrateurs système devraient :

  • Utiliser l’authentification par clés SSH et désactiver complètement les connexions par mot de passe
  • Mettre en place des limites de débit pour les tentatives de connexion SSH (fail2ban)
  • Appliquer des verrous après plusieurs échecs de connexion
  • Désactiver les connexions root directes (PermitRootLogin no)
  • Désactiver les services inutiles

Ces mesures simples mais efficaces réduisent considérablement la surface d’attaque pour les vecteurs d’accès observés dans RedTail.

Gestion des correctifs et mises à jour

La campagne RedTail a également montré que les attaquants exploitent activement les vulnérabilités connues pour accéder aux systèmes. Une gestion proactive des correctifs et mises à jour est donc cruciale. Les organisations devraient :

  • Mettre en place un processus régulier de scan de vulnérabilités
  • Appliquer les correctifs de sécurité dès qu’ils sont disponibles
  • Prioriser la correction des vulnérabilités critiques, notamment dans les services web exposés
  • Maintenir un inventaire à jour des systèmes et de leurs configurations

Cette approche proactive réduit le risque d’exploitation des failles qui pourraient permettre à RedTail de s’introduire sans même avoir à forcer les identifiants.

Contrôles réseau

Les contrôles réseau jouent un rôle essentiel dans la prévention du déploiement de RedTail. Les organisations devraient :

  • Restreindre l’accès entrant aux services strictement nécessaires
  • Segmenter les systèmes exposés (comme les honeypots) des actifs de production
  • Mettre en place des listes de contrôle d’accès (ACL) strictes
  • Bloquer ou rediriger vers des sinkholes les connexions vers les pools de minage connus
  • Surveiller et filtrer le trafic sortant anormal

Ces contrôles réseau créent des défenses en profondeur qui empêchent RedTail de communiquer avec ses serveurs de commandement et de contrôle, même si le malware parvient à s’installer sur un système.

Détection et réponse : Capturer ce qui passe au travers

Malgré toutes les mesures préventives, certaines compromissions peuvent survenir. Une détection et une réponse efficaces deviennent alors cruciales pour minimiser l’impact. Plusieurs approches complémentaires s’avèrent particulièrement efficaces contre RedTail.

Amélioration de la visibilité

La détection de RedTail dépend d’une visibilité complète sur les systèmes et le réseau. Les organisations devraient :

  • Activer la journalisation détaillée pour SSH, les processus et le trafic réseau sortant
  • Surveiller les indicateurs de performance du CPU, de la mémoire et des E/S disque pour détecter des augmentations anormales et durables
  • Mettre en place des systèmes de détection d’intrusions (IDS) avec des règles spécifiques pour les comportements observés
  • Surveiller les modifications du fichier ~/.ssh/authorized_keys

Cette visibilité accrue permet de repérer les activités anormales qui pourraient indiquer la présence de RedTail ou d’autres menaces similaires.

Détection basée sur les TTPs

Puisque les IOCs de RedTail évoluent rapidement, une détection basée sur les TTPs observés s’avère plus efficace. Les équipes de sécurité devraient surveiller activement :

  • Les tentatives de connexion SSH par force brute et les échecs de connexion répétés
  • Les entrées non autorisées dans le fichier ~/.ssh/authorized_keys
  • La création de services systemd inhabituels
  • Le trafic sortant chiffré vers des pools de minage inconnus ou privés
  • L’exécution de scripts nommés setup.sh ou clean.sh

Cette approche basée sur le comportement plutôt que sur les signatures permet de détecter les variantes de RedTail même si leurs signatures exactes ont changé.

Actions de réponse appropriées

Lorsqu’une infection par RedTail est détectée, une réponse rapide et appropriée est essentielle pour limiter l’impact. Les étapes recommandées incluent :

  • Isoler immédiatement les systèmes compromis du réseau
  • Supprimer les clés SSH des attaquants du fichier authorized_keys
  • Mettre fin aux processus de minage actifs
  • Réinstaller les systèmes à partir d’images propres
  • Analyser les journaux pour déterminer l’étendue de la compromission
  • Mettre à jour les mots de passe sur tous les comptes potentiellement affectés

Cette réponse structurée permet non seulement d’éliminer la menace immédiate, mais aussi de prévenir les réinfections futures.

Surveillance continue

La sécurité contre RedTail ne se limite pas à la détection d’incidents isolés. Une surveillance continue est essentielle pour maintenir un niveau de défense élevé. Les organisations devraient :

  • Surveiller activement les tentatives de réinfection
  • Utiliser des honeypots (comme DShield) pour capturer de nouveaux TTPs
  • Intégrer ces informations dans les systèmes de défense existants
  • Participer aux programmes de partage d’informations sur les menaces
  • Mettre à jour régulièrement les stratégies de détection et de réponse

Cette approche proactive et continue permet aux organisations d’évoluer avec les menaces et de maintenir un niveau de sécurité élevé malgré l’évolution constante des tactiques des attaquants.

Conclusion : Vers une défense proactive et adaptive contre le cryptojacking

La campagne RedTail observée dans les honeypots DShield illustre parfaitement l’évolution des menaces de cryptojacking vers des approches plus sophistiquées et persistantes. Contrairement aux attaques initiales qui se contentaient d’injecter un script de minage, RedTail déploie véritablement une campagne d’invasion complète avec des phases de reconnaissance, d’exploitation, de persistance et d’évasion des défenses. Cette complexité accrue rend les menaces de cryptojacking de plus en plus dangereuses, non seulement en termes de coût des ressources volées, mais aussi en termes de risque de compromission plus large des systèmes.

La seule façon de détecter efficacement ces menaces est de chercher activement leurs signes, et la détection perd de sa valeur sans une réponse appropriée. La protection des dispositifs et des réseaux reste un défi complexe mais réalisable grâce à des défenses multicouches. Alors que le monde devient plus interconnecté et que les attaquants devinent plus rusés, les défenseurs doivent également s’améliorer continuellement.

L’analyse des TTPs de RedTail selon le framework MITRE ATT&CK fournit un langage commun et structuré pour comprendre et contrer cette menace. En combinant une prévention rigoureuse avec des capacités de détection et de réponse basées sur le comportement, les organisations peuvent non seulement protéger leurs systèmes contre RedTail, mais aussi développer des défenses plus générales contre les menaces émergentes similaires. La sécurité n’est jamais un état final, mais un processus continu d’adaptation et d’amélioration face aux menaces en constante évolution.