Palo Alto ファイアウォールの脆弱性:RedTail 暗号マイニング・マルウェアによる悪用 – Akamai

RedTail Crypto-Mining Malware Exploiting Palo Alto Networks Firewall Vulnerability

2024/05/30 TheHackerNews — 暗号通貨マイニング・マルウェア RedTail の背後にいる脅威アクターが、Palo Alto Networks のファイアウォールの脆弱性を悪用していることが判明した。Web インフラおよびセキュリティの企業 Akamai の調査により、PAN-OS の脆弱性がツールキットに波及したことで、マルウェアのアップデートが補完され、新しいアンチ解析テクニックが組み込まれたことが判明した。


Akamai のセキュリティ研究者 Ryan Barnett/Stiv Kupchik/Maxim Zavodchik は、「攻撃者は、運用コストや金銭的コストが増加するにもかかわらず、マイニングの成果をよりコントロールしやすくするために、プライベートな暗号マイニングプールを採用し始めた」と、The Hacker News に共有したテクニカル・レポートで述べている。

Akamai が発見した一連の感染経路では、パッチ適用済の PAN-OS の脆弱性 CVE-2024-3400 (CVSS:10.0) が悪用されていた。この脆弱性は、未認証の攻撃者に対して、ファイアウォールのルート権限で、任意のコード実行を許す可能性があるものだ。

悪用に成功した攻撃者は、外部ドメインから bash シェル・スクリプトを取得/実行するためのコマンドを実行する。その結果として、CPU アーキテクチャに対応するRedTail ペイロードがダウンロードされる。

この RedTail 感染経路の他にも、TP-Link ルーター (CVE-2023-1389)/ThinkPHP (CVE-2018-20062)/Ivanti Connect Secure (CVE-2023-46805/CVE-2024-21887)/VMWare Workspace ONE Access and Identity Manager (CVE-2022-22954) などの悪用も含まれる。

2024年1月にセキュリティ研究者 Patryk Machowiak により、RedTail が初めて文書化されたのは、Log4Shell の脆弱性 CVE-2021-44228 を悪用することで、Unix ベースのシステム上にマルウェアを展開するというキャンペーンに関与したときだ。

RedTail Crypto-Mining Malware


また 2024年3月には、SonicWall の脆弱性 CVE-2019-7481 と Visual Tools DVR の脆弱性 CVE-2021-42071 を悪用して、Mirai ボットネットの亜種をインストールするサイバー攻撃の詳細と、ThinkPHP の欠点を悪用して RedTail を展開するサイバー攻撃の詳細が、Barracuda Networks から公開されている。

2024年4月に検出されたマイナーの最新バージョンには、すでに埋め込まれている XMRig マイナーを起動のための、暗号化されたマイニング設定を取り込むという、重要なアップデートが含まれている。

もう1つの注目すべき変更点は、暗号通貨ウォレットを持たないことである。つまり、この攻撃者は金銭的利益を得るために、プライベート・マイニング・プールや、プール・プロキシの利用に切り替えた可能性がある。

研究者たちは、「このコンフィグレーションが示唆するのは、攻撃者がマイニング作業を可能な限り最適化しようとしていることや、暗号マイニングを深く理解していることである。このマルウェアのバージョンでは、2024年の初めに報告された RedTail 亜種とは異なり、高度な回避と持続性のテクニックが採用されている。具体的に言うと、プロセスのデバッグによる分析を防ぐために自身を複数回フォークし、GNU Debugger  のインスタンスを見つけると、すべてを強制終了する」と詳述している。

Akamai は、RedTail は高度に洗練されており、野放しになっている暗号通貨マイナー・マルウェア・ファミリーの中では珍しい存在だとしている。

研究者たちは、「プライベートな暗号マイニングを実行するためには、人員/インフラ/難読化などの、多大な投資を必要とする。このような洗練された技術は、暗号通貨マイニングを行う国家の存在を示しているのかもしれない」と結論付けている。

XMRig マイナーを展開するキャンペーンで、RedTail ペイロードがダウンロードさせるために、Palo Alto Networks のファイアウォールの脆弱性 CVE-2024-3400 が悪用されているとのことです。その他にも、RedTail を展開するサイバー攻撃では、SonicWall や ThinkPHP などの脆弱性も悪用されているようです。ご利用のチームは、ご注意ください。よろしければ、脆弱性 CVE-2024-3400 で検索XMRig で検索も、ご利用ください。