Ciberseguridad 360 | Malware de criptominería RedTail explota vulnerabilidad del Firewall de Palo Alto Networks

Los actores de la amenaza detr�s del malware de miner�a de criptomonedas RedTail han a�adido a su arsenal de exploits un fallo de seguridad recientemente revelado que afecta a los firewalls de Palo Alto Networks.

La adici�n de la vulnerabilidad PAN-OS a su conjunto de herramientas se ha complementado con actualizaciones del malware, que ahora incorpora nuevas t�cnicas antian�lisis, seg�n las conclusiones de la empresa de infraestructura y seguridad web Akamai.

"Los atacantes han dado un paso adelante al emplear pools privados de miner�a de criptomonedas para tener un mayor control sobre los resultados de la miner�a a pesar del aumento de los costes operativos y financieros", afirman los investigadores de seguridad Ryan Barnett, Stiv Kupchik y Maxim Zavodchik en un informe t�cnico compartido con The Hacker News.

La secuencia de infecci�n descubierta por Akamai explota una vulnerabilidad ya parcheada en PAN-OS rastreada como CVE-2024-3400 (puntuaci�n CVSS: 10,0) que podr�a permitir a un atacante no autenticado ejecutar c�digo arbitrario con privilegios de root en el firewall.

Una explotaci�n exitosa es seguida por la ejecuci�n de comandos dise�ados para recuperar y ejecutar un script de shell bash desde un dominio externo que, a su vez, es responsable de descargar el payload RedTail basada en la arquitectura de la CPU.

Otros mecanismos de propagaci�n de RedTail implican la explotaci�n de fallos de seguridad conocidos en routers TP-Link (CVE-2023-1389), ThinkPHP (CVE-2018-20062), Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887) y VMWare Workspace ONE Access and Identity Manager (CVE-2022-22954).

RedTail fue documentado por primera vez por el investigador de seguridad Patryk Machowiak en enero de 2024 en relaci�n con una campa�a que aprovechaba la vulnerabilidad Log4Shell (CVE-2021-44228) para desplegar el malware en sistemas basados en Unix.

Posteriormente, en marzo de 2024, Barracuda Networks revel� detalles de ciberataques que explotaban fallos en SonicWall (CVE-2019-7481) y Visual Tools DVR (CVE-2021-42071) para instalar variantes de la red de bots Mirai, as� como deficiencias en ThinkPHP para desplegar RedTail.

La �ltima versi�n del minero detectada en abril incluye actualizaciones significativas, ya que incluye una configuraci�n de miner�a cifrada que se utiliza para iniciar el minero XMRig integrado.

Otro cambio notable es la ausencia de un monedero de criptomonedas, lo que indica que los actores de la amenaza pueden haber cambiado a un pool de miner�a privado o a un pool proxy para obtener beneficios financieros.

"La configuraci�n tambi�n muestra que los actores de la amenaza est�n tratando de optimizar la operaci�n de miner�a tanto como sea posible, lo que indica un profundo conocimiento de la miner�a de criptomonedas", dijeron los investigadores.

"A diferencia de la variante RedTail anterior reportada a principios de 2024, este malware emplea t�cnicas avanzadas de evasi�n y persistencia. Se bifurca a s� mismo m�ltiples veces para dificultar el an�lisis depurando su proceso y mata cualquier instancia de [GNU Debugger] que encuentra."

Akamai describi� RedTail como un programa con un alto nivel de refinamiento, un aspecto que no se observa com�nmente entre las familias de malware de mineros de criptomonedas.

Actualmente no est� claro exactamente qui�n est� detr�s del malware de miner�a de criptomonedas, aunque el uso de grupos privados de miner�a de criptomonedas refleja una t�ctica utilizada por el Grupo Lazarus vinculado a Corea del Norte, que tiene un historial de orquestar ciberataques de gran alcance para obtener beneficios financieros, se�al� la empresa.

"Las inversiones necesarias para llevar a cabo una operaci�n privada de miner�a de criptomonedas son significativas, incluyendo personal, infraestructura y ofuscaci�n", concluyen los investigadores. "Esta sofisticaci�n puede ser indicativa de un grupo de ataque patrocinado por un Estado-naci�n".

Fuente: thehackernews