El malware de cripto-minería RedTail ha añadido recientemente a su arsenal una vulnerabilidad de seguridad en los firewalls de Palo Alto Networks, según un informe técnico compartido por la empresa de infraestructura web y seguridad Akamai. Esta vulnerabilidad en PAN-OS, identificada como CVE-2024-3400 y con un puntaje CVSS de 10.0, permite a un atacante no autenticado ejecutar código arbitrario con privilegios de root en el firewall, y ya ha sido parcheada.
Actualizaciones y Técnicas de Anti-Análisis
RedTail no solo ha integrado esta nueva vulnerabilidad en su repertorio, sino que también ha actualizado su malware con técnicas avanzadas de anti-análisis. Los investigadores de Akamai, Ryan Barnett, Stiv Kupchik y Maxim Zavodchik, destacaron que los atacantes han dado un paso adelante al emplear pools de cripto-minería privados, lo que les otorga un mayor control sobre los resultados de la minería a pesar del aumento en los costos operativos y financieros.
La secuencia de infección descubierta comienza con la explotación de la vulnerabilidad en PAN-OS, seguida de la ejecución de comandos para recuperar y ejecutar un script shell bash desde un dominio externo, responsable de descargar la carga útil de RedTail según la arquitectura de la CPU.
Mecanismos de Propagación
Además de la vulnerabilidad en PAN-OS, RedTail se propaga explotando otros fallos de seguridad conocidos en diversos dispositivos y software, tales como:
- Routers TP-Link (CVE-2023-1389)
- ThinkPHP (CVE-2018-20062)
- Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887)
- VMware Workspace ONE Access y Identity Manager (CVE-2022-22954)
RedTail fue documentado por primera vez en enero de 2024 por el investigador Patryk Machowiak, en una campaña que explotaba la vulnerabilidad Log4Shell (CVE-2021-44228) para desplegar el malware en sistemas Unix.
Evolución del Malware
En marzo de 2024, Barracuda Networks reveló detalles de ciberataques que explotaban vulnerabilidades en SonicWall (CVE-2019-7481) y Visual Tools DVR (CVE-2021-42071) para instalar variantes del botnet Mirai, así como fallos en ThinkPHP para desplegar RedTail.
La última versión del malware, detectada en abril, incluye actualizaciones significativas, como una configuración de minería encriptada utilizada para lanzar el minero XMRig integrado. Un cambio notable es la ausencia de una billetera de criptomonedas, lo que sugiere que los actores de la amenaza podrían haber cambiado a un pool de minería privado o un proxy de pool para obtener beneficios financieros.
Optimización y Sofisticación
“La configuración también muestra que los actores de la amenaza están tratando de optimizar la operación de minería tanto como sea posible, indicando un profundo entendimiento de la cripto-minería”, señalaron los investigadores.
A diferencia de la variante anterior de RedTail reportada a principios de 2024, este malware emplea técnicas avanzadas de evasión y persistencia. Se bifurca múltiples veces para dificultar el análisis mediante la depuración de su proceso y elimina cualquier instancia del depurador GNU Debugger que encuentre.
Indicaciones de un Ataque Patrocinado por el Estado
Akamai describió a RedTail como un malware con un alto nivel de sofisticación, un aspecto poco común entre las familias de malware de cripto-minería en el entorno. “Las inversiones necesarias para ejecutar una operación privada de cripto-minería son significativas, incluyendo personal, infraestructura y ofuscación”, concluyeron los investigadores. “Esta sofisticación podría ser indicativa de un grupo de ataque patrocinado por un estado.”
