Alerta: Palo Alto Networks es presa del malware RedTail
En un acontecimiento recientelos autores de la amenaza criptojacking RedTail RedTail han ampliado su arsenal aprovechando una nueva vulnerabilidad de seguridad de la infraestructura de TI en Palo Alto Networks cortafuegos de Palo Alto Networks. Este fallo de seguridad de Palo Alto Networksque afecta a PAN-OS, se ha añadido rápidamente al malware RedTail que ahora cuenta con técnicas antianálisis mejoradas, según ha destacado el equipo de seguridad e infraestructura web de Akamai.
Explotación de la vulnerabilidad de PAN-OS
Según los investigadores de seguridad Ryan Barnett, Stiv Kupchik y Maxim Zavodchik de Akamai, los atacantes han avanzado en sus tácticas utilizando pools privados de minería de criptomonedas. Este movimiento permite un mayor control sobre los resultados de la minería a pesar de los mayores costes operativos y financieros.
El malware RedTail se dirige a una vulnerabilidad vulnerabilidad de PAN-OS (CVE-2024-3400) con una puntuación CVSS de 10,0, lo que permite a atacantes no autenticados ejecutar código arbitrario con privilegios de root en el cortafuegos.
Malware RedTail
Una vez explotada la vulnerabilidad, el malware RedTail ejecuta para descargar y ejecutar un script bash desde un dominio externo, que posteriormente descarga la carga útil RedTail adaptada a la arquitectura de la CPU del sistema comprometido.
Detección y eliminación de RedTail
RedTail emplea múltiples métodos de propagación, aprovechando fallos de seguridad conocidos en diversos dispositivos y programas informáticos, entre ellos:
- Enrutadores TP-Link (CVE-2023-1389)
- ThinkPHP (CVE-2018-20062)
- Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887)
- Gestor de identidades y acceso VMWare Workspace ONE (CVE-2022-22954)
Documentado por primera vez por el investigador de seguridad Patryk Machowiak en enero de 2024, RedTail explotó inicialmente la vulnerabilidad Log4Shell (CVE-2021-44228) para infiltrarse en sistemas basados en Unix. En marzo de 2024 Barracuda Networks había informado de que se estaban utilizando fallos en SonicWall (CVE-2019-7481) y Visual Tools DVR (CVE-2021-42071) para instalar variantes de la red de bots Mirai y se aprovecharon vulnerabilidades de ThinkPHP para desplegar RedTail.
Técnicas mejoradas de evasión y persistencia
La última versión de RedTail, detectada en abril, introduce actualizaciones significativas. El malware ahora incluye una configuración de minería cifrada que se utiliza para iniciar el minero XMRig integrado. Cabe destacar que esta versión carece de monedero de criptomonedas, lo que sugiere un cambio a grupos de minería privados o proxies para maximizar las ganancias financieras.
Los cambios de configuración reflejan los esfuerzos de los atacantes por optimizar las operaciones de minería, demostrando un profundo conocimiento de la minería de criptomonedas. La nueva variante emplea técnicas avanzadas de evasión y persistencia, como bifurcarse a sí misma varias veces para dificultar la depuración y matar cualquier instancia de GNU Debugger que detecte. El análisis de Akamai revela un alto nivel de sofisticación en RedTail, poco común entre el típico malware de minería de criptomonedas.
Análisis del malware RedTail
Aunque la identidad de los autores de la amenaza sigue sin estar clara, el uso de grupos privados de minería de criptomonedas recuerda a las tácticas empleadas por el Grupo Lazarus, vinculado a Corea del Norte y conocido por ejecutar extensos ciberataques contra dispositivos de seguridad de red. ciberataques a dispositivos de seguridad de red para obtener beneficios económicos. Los investigadores de Akamai sugieren que la complejidad y los recursos necesarios para operar un pool de minería privado indican un posible patrocinio por parte de un estado-nación.
"Las inversiones necesarias para una operación privada de minería de criptomonedas incluyen una importante dotación de personal, infraestructura y ofuscación", concluyeron los investigadores. investigadores concluyeronlo que implica que la sofisticación de RedTail apunta a un grupo de amenazas altamente organizado y posiblemente patrocinado por el Estado. Regularmente parches de los cortafuegos de Palo Alto es esencial para mantener una seguridad de red robusta.
Conclusión
La continua evolución del malware RedTail pone de manifiesto la creciente sofisticación de las ciberamenazas dirigidas contra infraestructuras críticas. Las organizaciones deben permanecer vigilantes y priorizar las actualizaciones de seguridad para mitigar los riesgos de ciberseguridad que plantean estos ciberataques ciberataques a la cadena de suministro. A medida que los actores de las amenazas siguen perfeccionando sus tácticas y ampliando sus herramientas, la comunidad de la ciberseguridad debe colaborar e innovar para mantenerse a la vanguardia en este panorama en constante cambio.
Las fuentes de este artículo incluyen artículos en The Hacker News y SC Media.