En el vertiginoso mundo de la ciberseguridad, los actores maliciosos están en constante evolución, buscando nuevas vulnerabilidades para explotar en su beneficio. Uno de los últimos ejemplos es el malware de criptominería conocido como RedTail, que ha adoptado una vulnerabilidad de día cero en los productos basados en PAN-OS de Palo Alto Networks. Esta vulnerabilidad, identificada como CVE-2024-3400, permite a los atacantes crear un archivo arbitrario que eventualmente posibilita la ejecución de comandos con privilegios de usuario root.
Detalles clave:
- Arsenal expandido: Los actores detrás del malware RedTail, inicialmente reportado a principios de 2024, han incorporado la reciente vulnerabilidad de Palo Alto PAN-OS CVE-2024-3400 en su conjunto de herramientas.
- Pools privados de criptominería: Los atacantes han dado un paso adelante al emplear pools privados de criptominería para tener un mayor control sobre los resultados de la minería, a pesar de los mayores costos operativos y financieros. Este enfoque se asemeja a las tácticas utilizadas por el grupo Lazarus, lo que ha llevado a especulaciones sobre la atribución del ataque.
- Técnicas avanzadas: La nueva variante de RedTail ahora incluye técnicas antianálisis que no se habían observado previamente.
- Múltiples exploits: El malware se propaga utilizando al menos seis exploits web diferentes, dirigidos a dispositivos de Internet de las Cosas (IoT), aplicaciones web y dispositivos de seguridad como Ivanti Connect Secure y Palo Alto GlobalProtect.
- Infraestructura de entrega robusta: La infraestructura de entrega del malware se basa en varios servidores no relacionados alojados por diversas empresas de alojamiento legítimas.
- En resumen, la amenaza de RedTail representa un desafío significativo para la seguridad cibernética, y es crucial que las organizaciones estén al tanto de esta vulnerabilidad y tomen medidas para protegerse.
Seguir leyendo [EN]: https://www.akamai.com/blog/security-research/2024-redtail-cryptominer-pan-os-cve-exploit