Os responsáveis pelo malware de mineração de criptomoedas RedTail adicionaram uma falha de segurança recentemente divulgada que afeta os firewalls da Palo Alto Networks ao seu arsenal de exploração.

A adição da vulnerabilidade PAN-OS ao seu kit foi complementada por atualizações no malware, que agora incorpora novas técnicas anti-análise, de acordo com descobertas da empresa de segurança Akamai.

“Os atacantes deram um passo adiante ao utilizar pools cripto-mineradoras privadas para ter maior controle sobre os resultados da mineração, apesar dos custos operacionais e financeiros aumentados”, disseram os pesquisadores de segurança Ryan Barnett, Stiv Kupchik e Maxim Zavodchik em um relatório técnico compartilhado com o The Hacker News.

A sequência de infecção descoberta pela Akamai explora uma vulnerabilidade já corrigida no PAN-OS identificada como CVE-2024-3400.

A exploração bem-sucedida é seguida pela execução de comandos projetados para recuperar e executar um script de shell bash de um domínio externo que, por sua vez, é responsável por baixar o payload do RedTail com base na arquitetura da CPU.

Outros mecanismos de propagação para o RedTail envolvem a exploração de falhas de segurança conhecidas em roteadores TP-Link, ThinkPHP, Ivanti Connect Secure e VMWare Workspace ONE Access e Identity Manager.

RedTail foi primeiramente documentado pelo pesquisador de segurança Patryk Machowiak em janeiro de 2024 em relação a uma campanha que explorava a vulnerabilidade Log4Shell para implantar o malware em sistemas baseados no Unix.

Em março de 2024, a Barracuda Networks divulgou detalhes de ataques cibernéticos que exploraram falhas em firewalls SonicWall e Visual Tools DVR para instalar variantes de botnet Mirai, bem como deficiências no ThinkPHP para implantar o RedTail.

A versão mais recente do mineiro detectada em abril traz importantes atualizações, incluindo uma configuração de mineração criptografada utilizada para lançar o minerador XMRig incorporado.

Uma mudança significativa é a ausência de uma carteira de criptomoedas, indicando que os responsáveis pelo ataque podem ter migrado para uma pool de mineração privada para obter benefícios financeiros.

“A configuração mostra que os atacantes estão tentando otimizar a operação de mineração o máximo possível, indicando um profundo entendimento de cripto-mineração”, disseram os pesquisadores.

A Akamai descreveu o RedTail como tendo um alto nível de polimento, um aspecto não comumente observado entre as famílias de malwares mineradores de criptomoedas encontradas na natureza.

Atualmente, não está claro quem está por trás do malware de mineração de criptomoedas, embora o uso de piscinas de mineração privadas reflita uma tática usada pelo Lazarus Group ligado à Coreia do Norte, que tem histórico de orquestrar ataques cibernéticos abrangentes para ganho financeiro.

“Os investimentos necessários para executar uma operação de mineração cripto privada são significativos, incluindo pessoal, infraestrutura e ofuscação”, concluíram os pesquisadores. “Essa sofisticação pode ser indicativa de um grupo de ataque patrocinado por um estado-nação.”