Los actores de amenazas detrás del malware de minería de criptomonedas RedTail han añadido a su arsenal de exploits una reciente vulnerabilidad que afecta los firewalls de Palo Alto Networks. Según la empresa de seguridad Akamai, este malware ahora también incluye nuevas técnicas antianálisis. Los investigadores de seguridad han revelado que los atacantes están utilizando grupos privados de criptominería para tener mayor control sobre los resultados, a pesar de los altos costos operativos y financieros. La secuencia de infección utiliza una vulnerabilidad en PAN-OS (CVE-2024-3400), la cual ya ha sido parcheada, permitiendo a un atacante no autenticado ejecutar código arbitrario con privilegios de root en el firewall.
Detalle de la vulnerabilidad CVE-2024-3400
La vulnerabilidad de día cero en los productos basados en PAN-OS de Palo Alto, publicada el 11 de abril de 2024, permite a los atacantes crear un archivo arbitrario que eventualmente posibilita la ejecución de comandos con privilegios de usuario root. Esta vulnerabilidad se explota al manipular el valor de la cookie SESSID, lo que induce a PAN-OS a crear un archivo con el nombre especificado en el valor de la cookie. Utilizando una técnica de recorrido de ruta, el atacante puede controlar tanto el nombre del archivo como el directorio en el que se almacena, lo que le da la capacidad de ejecutar código arbitrario con privilegios elevados. La vulnerabilidad está presente en la función GlobalProtect de ciertas versiones de PAN-OS.
Otros exploits
Este cryptominero se propaga utilizando al menos seis exploits web diferentes, dirigidos a dispositivos de Internet de las cosas (IoT) (como enrutadores TP-Link), aplicaciones web (incluido el sistema de gestión de contenidos de origen chino ThinkPHP), SSL-VPN, y dispositivos de seguridad como Ivanti Connect Secure y Palo Alto GlobalProtect.
Cabe destacar que los servidores de malware específicos que sirvieron para esta variante, estuvieron activos desde principios de abril de 2024 hasta principios de mayo de 2024, y se observó explotación de PAN-OS desde al menos el 21 de abril .
Para más detalles sobre el exploit publicado visita nuestro Portal CCI
El criptomonero
El análisis de un archivo binario descargado confirmó la presencia de un criptominero, identificado como una variante de XMRig, empaquetado con UPX. A diferencia de versiones anteriores, esta variante no realiza llamadas a un C&C para recuperar la configuración de minería, sino que incorpora el código de XMRig dentro de su propio código, añadiendo lógica personalizada antes y después de su ejecución. Se destacó la incorporación de una configuración de minería cifrada, que se descifra durante la ejecución del malware. Este enfoque permite a los investigadores encontrar la configuración de minería en la memoria, evitando un complejo proceso de ingeniería inversa. Además, la configuración del minero no incluye una dirección de billetera, lo que indica que los actores de amenazas están operando sus propios grupos de minería o servidores proxy en lugar de usar servicios públicos. Este método proporciona un mayor control sobre los resultados de la minería, aunque conlleva mayores costos operativos y financieros debido al mantenimiento de un servidor privado. Esta sofisticación sugiere una operación de criptominería bien organizada y financiada.
Ilustración 1: Cadenas conocidas XMR incrustadas en el código
Fuente: Akamai
Apreciación
La sofisticación del malware de criptominería RedTail es notable, lo que sugiere el respaldo de un grupo patrocinado por un Estado-nación debido a las importantes inversiones en personal, infraestructura y técnicas de ofuscación necesarias para su operación. Este nivel de refinamiento implica pruebas y evolución constantes para asegurar su éxito, indicando un apoyo financiero sustancial. RedTail emplea grupos privados para mayor control y seguridad, similar a las tácticas del grupo Lazarus, lo que ha generado especulaciones sobre la atribución del ataque. El equipo de VulDB CTI observó actividad de explotación de la vulnerabilidad PAN-OS (CVE-2024-3400) vinculada potencialmente a Lazarus, aunque sin detalles adicionales. Estas vulnerabilidades en PAN-OS y otras, como en Ivanti Connect Secure, no solo facilitan el acceso a redes internas, sino que también pueden ser explotadas para generar ingresos adicionales, subrayando la importancia de mantener sistemas actualizados y seguros.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
Tipo | Indicador |
---|---|
RedTail | - |
ip | 92[.]118[.]39[.]120 |
ip | 193[.]222[.]96[.]163 |
ip | 79[.]110[.]62[.]25 |
ip | 68[.]170[.]165[.]36 |
ip | 193[.]222[.]96[.]163 |
ip | 94[.]156[.]79[.]60 |
ip | 94[.]156[.]79[.]129 |
ip | 185[.]216[.]70[.]138 |
ip | 78[.]153[.]140[.]51 |
dominio | proxies[.]identitynetwork[.... |