Os atores de ameaças por trás do malware de mineração de criptomoedas RedTail incorporaram uma falha de segurança recentemente divulgada que afeta os firewalls da Palo Alto Networks ao seu arsenal de exploração.
A adição da vulnerabilidade do PAN-OS ao seu conjunto de ferramentas foi complementada por atualizações no malware, que agora incorpora novas técnicas anti-análise, de acordo com as descobertas da empresa de infraestrutura e segurança web Akamai.
"Os atacantes deram um passo à frente, empregando pools de mineração de criptomoedas privadas para um maior controle sobre os resultados da mineração apesar dos custos operacionais e financeiros aumentados", disseram os pesquisadores de segurança Ryan Barnett, Stiv Kupchik e Maxim Zavodchik em um relatório técnico.
A sequência de infecção descoberta pela Akamai explora uma vulnerabilidade já corrigida no PAN-OS, rastreada como
CVE-2024-3400
(pontuação CVSS: 10.0), que poderia permitir que um atacante não autenticado executasse código arbitrário com privilégios root no firewall.
Uma exploração bem-sucedida é seguida pela execução de comandos projetados para recuperar e executar um script bash shell de um domínio externo que, por sua vez, é responsável por baixar o payload do RedTail com base na arquitetura da CPU.
Outros mecanismos de propagação para o RedTail envolvem a exploração de falhas de segurança conhecidas em roteadores TP-Link (
CVE-2023-1389
), ThinkPHP (
CVE-2018-20062
), Ivanti Connect Secure (CVE-2023-46805 e CVE-2024-21887) e VMWare Workspace ONE Access e Identity Manager (
CVE-2022-22954
).
RedTail foi documentado pela primeira vez pelo pesquisador de segurança Patryk Machowiak em janeiro de 2024, em relação a uma campanha que explorava a vulnerabilidade Log4Shell (
CVE-2021-44228
) para implantar o malware em sistemas baseados em Unix.
Então, em março de 2024, a Barracuda Networks divulgou detalhes de ataques cibernéticos explorando falhas em SonicWall (
CVE-2019-7481
) e Visual Tools DVR (
CVE-2021-42071
) para instalar variantes do botnet Mirai, bem como deficiências no ThinkPHP para implementar o RedTail.
A última versão do minerador detectada em abril apresenta atualizações significativas, pois inclui uma configuração de mineração criptografada usada para lançar o minerador XMRig embutido.
Outra mudança notável é a ausência de uma carteira de criptomoedas, indicando que os atores de ameaças podem ter mudado para um pool de mineração privada ou um proxy de pool para colher benefícios financeiros.
"A configuração também mostra que os atores de ameaças estão tentando otimizar a operação de mineração o máximo possível, indicando um profundo entendimento sobre mineração de cripto", disseram os pesquisadores.
"Ao contrário da variante anterior do RedTail relatada no início de 2024, este malware emprega técnicas avançadas de evasão e persistência.
Ele se bifurca várias vezes para dificultar a análise, debugando seu próprio processo e mata qualquer instância do [GNU Debugger] que encontrar." A Akamai descreveu o RedTail como tendo um alto nível de polimento, um aspecto não comumente observado entre as famílias de malware de mineração de criptomoeda existentes na natureza.
Quem está por trás do malware de mineração de criptomoedas atualmente não está claro, embora o uso de pools de mineração de criptomoedas privadas espelhe uma tática utilizada pelo grupo Lazarus, ligado à Coreia do Norte, que tem um histórico de orquestrar ataques cibernéticos de grande alcance para ganho financeiro, observou a empresa.
"Os investimentos necessários para executar uma operação de mineração de criptomoedas privada são significativos, incluindo pessoal, infraestrutura e obfuscação", concluíram os pesquisadores.
Essa sofisticação pode indicar um grupo de ataque patrocinado por um estado-nação.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...