Redtail Cryptominer 5. Binary: `783adb7a` Eklendi, Staging Server Aktif
7 Nisan'dan beri izlediğimiz Redtail cryptominer kampanyası 14-15 Nisan'da dördüncüden beşinci mimari binary'sine geçti. `130.12.180.51` staging server'ı 15 Nisan 20:43 UTC'de yeni hash'li `783adb7ad6b16fe9...` binary'sini yükledi. Dört mimari baseline (arm7/arm8/i686/x86_64) artık beş binary'ye çıktı — aktif geliştirme sinyali.
Özet
7 Nisan tarihli “Redtail cryptominer kampanyası” yazımızda 130.12.180.51 staging server’ından dört mimari binary’nin (arm7, arm8, x86 32-bit, x86_64) SSH üzerinden yüklendiğini raporlamıştık. 15 Nisan 20:43 UTC’de aynı staging server yeni bir upload session başlattı — beşinci bir binary.
Güncel IOC Listesi
| # | SHA256 (tam) | Mimari | Durum |
|---|---|---|---|
| 1 | 3625d06889695359... | ELF ARM7 | 7 Nis’ten aktif |
| 2 | dbb7ebb960dc0d5a... | ELF ARM8 | 7 Nis’ten aktif |
| 3 | 048e374baac36d8c... | ELF x86 32-bit | 7 Nis’ten aktif |
| 4 | 59c29436755b0778... | ELF x86_64 | 7 Nis’ten aktif |
| 5 | 783adb7ad6b16fe9818f3e6d48b937c3ca1994ef24e50865282eeedeab7e0d59 | YENİ | 14-15 Nis eklendi |
| — | d46555af1173d22f... (clean.sh) | Shell script | Cleanup payload |
Staging server IP: 130.12.180.51 — ASN ve coğrafya baseline’da publish edildi, aktivite devam ediyor.
Saldırı Zinciri (TTP)
- SSH brute-force — Cowrie honeypot’umuzda başarılı giriş
- SFTP upload — 5 mimari binary +
setup.sh+clean.sh - Mimari tespit — hedef cihazın
uname -mçıktısına göre uygun binary seçimi (arm7/arm8/i686/x86_64) - Persistence + miner başlatma — Monero madencilik C2’sine bağlanma
- İz silme —
clean.shile bash history, log, temp dosya temizliği
5. Binary Ne Anlama Geliyor?
Dört mimari → beş mimari geçişi teknik olarak iki olası sebeple açıklanabilir:
Hipotez 1: Yeni mimari desteği
ARM ve x86 ailesi dışında bir platform (MIPS, RISC-V, ARM64 farklı subtype) eklenmiş olabilir. Redtail’in bilinen 2025 varyantları genelde beş mimari hedefliyordu. Bu, kampanyanın eski bir geliştirme branşından yükseldiğini gösterebilir.
Hipotez 2: Mimari-spesifik optimizasyon
Aynı mimari için yeniden derlenmiş optimize versiyon. Örneğin x86_64 için AVX2/AVX512 destekli XMRig build’i — daha iyi hash rate. Miner kampanyalarda bu yaygın.
Doğrulama gerek: Binary’nin file çıktısı alınmalı ve readelf -h ile ELF header incelenmeli. Biz T-Pot Cowrie dl/ klasöründen hash’i aldık ama aktif analiz aşamasında.
Aktif Geliştirme Sinyali
Binary sayısındaki artış, operatörün kampanyayı aktif olarak güncellediğini gösterir. Bu şu noktaları yükseltir:
- Detection imzaları eskiyor — her yeni hash YARA/ClamAV kurallarının güncellenmesi gerektirir
- Staging server izlem altında —
130.12.180.51düşmezse 6. binary’nin geliş ihtimali yüksek - AbuseIPDB/VirusTotal feed’leri eski hash’leri flag ediyor olabilir ama 5. hash taze
Aksiyonlar
SOC/Blue Team için:
- SHA256 hash feed’ine
783adb7ad6b16fe9818f3e6d48b937c3ca1994ef24e50865282eeedeab7e0d59ekle - YARA kuralı: Redtail family’sine 5. binary’nin imzası eklenmeli
- SSH brute-force + SFTP upload pattern’ini ConPot/Cowrie syslog’da izle
Linux sunucu operatörleri için:
- SSH default password kullanıyorsanız kampanya size özel bir sürpriz hazırlıyor olabilir
/tmp,/dev/shm,~/.cachegibi yazılabilir klasörlerde son 2 hafta içinde görünen ELF dosyalarını inceleyin- CPU’da
xmrigprocess veya cryptominer benzeri patern aramak için basittop/htopyetmez —pidof xmrig; ls /proc/*/exe | grep -v /usrgibi invazif kontroller gerek
Referanslar
- 7 Nisan — Redtail Kampanyası İlk Raporu (eğer link geçerli değilse aynı dönem bülteninde)
- VirusTotal:
783adb7ad6b16fe9... - Darktrace 2025 Redtail analizi — darktrace.com
Tellal tehdit-istihbarat bülten serisi. Sonraki ele alınacak bölümler: claude username anekdot, Weekly Briefing tam özet, DoublePulsar TR coğrafya.