Malware de mineração de criptografia RedTail explorando a vulnerabilidade do firewall da Palo Alto Networks
Os atores da ameaça por trás do Cauda vermelha O malware de mineração de criptomoedas adicionou uma falha de segurança recentemente divulgada que afeta os firewalls da Palo Alto Networks ao seu arsenal de exploração.
A adição da vulnerabilidade PAN-OS ao seu package de ferramentas foi complementada por atualizações do malware, que agora incorpora novas técnicas de anti-análise, de acordo com descobertas da empresa de infraestrutura e segurança internet Akamai.
“Os invasores deram um passo à frente ao empregar swimming pools privados de mineração de criptografia para maior controle sobre os resultados da mineração, apesar do aumento dos custos operacionais e financeiros”, disseram os pesquisadores de segurança Ryan Barnett, Stiv Kupchik e Maxim Zavodchik em um relatório técnico compartilhado com o The Hacker. Notícias.
A sequência de infecção descoberta pela Akamai explora uma vulnerabilidade agora corrigida no PAN-OS rastreada como CVE-2024-3400 (pontuação CVSS: 10.0) que pode permitir que um invasor não autenticado execute código arbitrário com privilégios de root no firewall.
Uma exploração bem-sucedida é seguida pela execução de comandos projetados para recuperar e executar um script bash shell de um domínio externo que, por sua vez, é responsável por baixar a carga útil do RedTail com base na arquitetura da CPU.
Outros mecanismos de propagação do RedTail envolvem a exploração de falhas de segurança conhecidas em roteadores TP-Hyperlink (CVE-2023-1389), ThinkPHP (CVE-2018-20062), Ivanti Join Safe (CVE-2023-46805 e CVE-2024-21887) e VMware Workspace ONE Entry e Identification Supervisor (CVE-2022-22954).
RedTail foi documentado pela primeira vez pelo pesquisador de segurança Patryk Machowiak em janeiro de 2024 em relação a uma campanha que explorou a vulnerabilidade Log4Shell (CVE-2021-44228) para implantar o malware em sistemas baseados em Unix.
Então, em março de 2024, a Barracuda Networks divulgou detalhes de ataques cibernéticos que exploram falhas no SonicWall (CVE-2019-7481) e no Visible Instruments DVR (CVE-2021-42071) para instalar variantes do botnet Mirai, bem como deficiências no ThinkPHP para implantar o RedTail.
A versão mais recente do minerador detectada em abril traz atualizações significativas, pois inclui uma configuração de mineração criptografada que é usada para iniciar o minerador XMRig incorporado.
Outra mudança notável é a ausência de uma carteira de criptomoedas, indicando que os atores da ameaça podem ter mudado para um pool de mineração privado ou um proxy de pool para colher benefícios financeiros.
“A configuração também mostra que os atores da ameaça estão tentando otimizar ao máximo a operação de mineração, indicando um profundo conhecimento da mineração de criptomoedas”, disseram os pesquisadores.
“Ao contrário da variante RedTail anterior relatada no início de 2024, este malware emprega técnicas avançadas de evasão e persistência. Ele se bifurca várias vezes para dificultar a análise, depurando seu processo e mata qualquer instância do (GNU Debugger) que encontrar.”
Akamai descreveu o RedTail como tendo um alto nível de polimento, um aspecto não comumente observado entre famílias de malware de mineradores de criptomoedas por aí.
“Os investimentos necessários para administrar uma operação privada de mineração de criptomoedas são significativos, incluindo pessoal, infraestrutura e ofuscação”, concluíram os pesquisadores. “Esta sofisticação pode ser indicativa de um grupo de ataque patrocinado pelo Estado-nação”.
