RedTail: el minero fantasma ataca a los cortafuegos, escondiéndose en pools de criptomonedas
Los expertos ya han especulado sobre qué grupo de hackers podría estar detrás de la propagación del malware.
Los actores maliciosos detrás del malware RedTail han agregado recientemente la vulnerabilidad descubierta en los cortafuegos de Palo Alto Networks a su arsenal de ataques. Como resultado de las actualizaciones, el malware ahora incluye nuevas técnicas de protección contra el análisis, según confirman los expertos de la compañía de infraestructura y seguridad web Akamai.
Los investigadores de seguridad Ryan Barnett, Steve Kupchick y Maxim Zavodchik señalaron en su informe técnico que los atacantes han dado un paso adelante al utilizar pools de minería de criptomonedas privadas para obtener un mayor control sobre los resultados de la minería, a pesar de los crecientes costos operativos y financieros.
El ataque comienza con el uso de la vulnerabilidad CVE-2024-3400 en PAN-OS, que permite a un atacante no autenticado ejecutar código arbitrario con privilegios de superusuario en el cortafuegos. Después de un compromiso exitoso, se ejecutan comandos destinados a descargar y ejecutar un script bash desde un dominio externo, que luego descarga el malware RedTail según la arquitectura del procesador.
RedTail también utiliza otros vectores de propagación, explotando vulnerabilidades conocidas en enrutadores TP-Link (CVE-2023-1389), ThinkPHP (CVE-2018-20062), Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887), y VMWare Workspace ONE Access e Identity Manager (CVE-2022-22954).
La primera mención de RedTail se produjo en enero de 2024, cuando el investigador de seguridad Patrick Machevik documentó una campaña que utilizaba la vulnerabilidad Log4Shell (CVE-2021-44228) para introducir malware en sistemas basados en Unix.
En marzo de 2024, Barracuda Networks reveló detalles de ataques cibernéticos que explotaban vulnerabilidades en SonicWall (CVE-2019-7481) y Visual Tools DVR (CVE-2021-42071) para instalar variantes del botnet Mirai, así como fallas en ThinkPHP para implementar RedTail.
La última versión del minero, descubierta en abril, incluye actualizaciones significativas, como una configuración encriptada utilizada para ejecutar el minero integrado XMRig. También carece de una billetera de criptomonedas codificada de forma rígida, lo que puede indicar que los actores maliciosos están cambiando a pools de minería privados o pools proxy.
Los expertos señalaron que la última configuración del malware muestra el deseo de los actores maliciosos de optimizar el proceso de minería, incluyendo el uso de técnicas avanzadas de evasión y resistencia. Todo esto indica una comprensión profunda de los principios de la criptominería por parte de los hackers.
Akamai caracterizó a RedTail como un malware de alta calidad, algo raro entre las familias de mineros de criptomonedas. Las identidades exactas de los actores maliciosos aún se desconocen, pero el uso de pools de minería privados recuerda a la táctica empleada por el grupo norcoreano Lazarus, conocido por ataques cibernéticos a gran escala con fines lucrativos.
¿Tu Wi-Fi doméstico es una fortaleza o una casa de cartón?