Η αμερικανική υπηρεσία Cybersecurity & Infrastructure Security Agency (CISA) ανακάλυψε ότι το κακόβουλο λογισμικό backdoor με την ονομασία “Whirlpool” χρησιμοποιήθηκε σε επιθέσεις σε παραβιασμένες συσκευές Barracuda Email Security Gateway (ESG).
Δείτε επίσης: Η Barracuda λέει ότι οι παραβιασμένες συσκευές ESG πρέπει να αντικατασταθούν άμεσα
Τον Μάιο, η Barracuda αποκάλυψε ότι μια ύποπτη φιλοκινεζική ομάδα χάκερ (UNC4841) είχε παραβιάσει συσκευές ESG (Email Security Gateway) σε επιθέσεις κλοπής δεδομένων χρησιμοποιώντας την ευπάθεια zero-day CVE-2023-2868.
Το CVE-2023-2868 είναι μια ευπάθεια απομακρυσμένης έγχυσης εντολών κρίσιμης σοβαρότητας (CVSS v3: 9.8) που επηρεάζει τις εκδόσεις 5.1.3.001 έως 9.2.0.006 του Barracuda ESG.
Αργότερα ανακαλύφθηκε ότι οι επιθέσεις ξεκίνησαν τον Οκτώβριο του 2022 και χρησιμοποιήθηκαν για την εγκατάσταση προηγουμένως άγνωστου κακόβουλου λογισμικού με την ονομασία Saltwater και SeaSpy και ενός κακόβουλου εργαλείου με την ονομασία SeaSide για τη δημιουργία reverse shells για εύκολη απομακρυσμένη πρόσβαση.
Αντί να επιδιορθώσει τις συσκευές με ενημερώσεις λογισμικού, η Barracuda προσέφερε συσκευές αντικατάστασης σε όλους τους πελάτες που επηρεάστηκαν χωρίς χρέωση, γεγονός που δείχνει ότι οι επιθέσεις ήταν πιο επιζήμιες από ό,τι είχε αρχικά θεωρηθεί.
Από τότε η CISA μοιράστηκε περαιτέρω λεπτομέρειες σχετικά με ένα πρόσθετο κακόβουλο λογισμικό με την ονομασία Submariner που αναπτύχθηκε στις επιθέσεις.
Whirlpool malware
Χθες, η CISA αποκάλυψε την ανακάλυψη ενός άλλου κακόβουλου λογισμικού backdoor με την ονομασία “Whirlpool” [VirusTotal], το οποίο βρέθηκε να χρησιμοποιείται στις επιθέσεις στις συσκευές Barracuda ESG.
Η ανακάλυψη του Whirlpool καθιστά αυτό το τρίτο ξεχωριστό backdoor που χρησιμοποιείται στις επιθέσεις με στόχο το Barracuda ESG, καταδεικνύοντας για άλλη μια φορά γιατί η εταιρεία επέλεξε να αντικαταστήσει τις συσκευές αντί να τις διορθώσει με λογισμικό.
“Αυτό το τεχνούργημα είναι ένα αρχείο ELF 32-bit που έχει αναγνωριστεί ως παραλλαγή κακόβουλου λογισμικού με την ονομασία “WHIRLPOOL””, αναφέρεται στην ενημερωμένη έκθεση κακόβουλου λογισμικού Barracuda ESG της CISA.
Πρόταση: CISA: Προειδοποιεί ομοσπονδιακούς οργανισμούς για το πρόσφατο Barracuda zero-day bug
Το κακόβουλο λογισμικό λαμβάνει δύο ορίσματα (IP C2 και αριθμό θύρας) από μια ενότητα για να δημιουργήσει ένα αντίστροφο κέλυφος Transport Layer Security (TLS).
“Το module που περνάει τα ορίσματα δεν ήταν διαθέσιμο για ανάλυση”.
Από τις υποβολές στο VirusTotal, το κακόβουλο λογισμικό Whirlpool φαίνεται να έχει εκτελεστεί υπό τη διαδικασία ‘pd’.
Η Mandiant ήταν η πρώτη που κατέγραψε την Whirlpool σε μια έκθεση του Ιουνίου 2023, αποδίδοντας τη χρήση της σε κινεζικούς hackers.
Προηγουμένως, στις 30 Μαΐου 2023, η Barracuda βρήκε το SeaSpy σε παραβιασμένες συσκευές ESG, ένα επίμονο παθητικό backdoor που μεταμφιέζεται ως νόμιμη υπηρεσία, δηλαδή ως “BarracudaMailService”, και εκτελεί εντολές για λογαριασμό των δραστών.
Στις 28 Ιουλίου 2023, η CISA προειδοποίησε για ένα άγνωστο προηγουμένως backdoor σε παραβιασμένες συσκευές Barracuda με την ονομασία “Submarine”.
Το Submarine βρίσκεται στη βάση δεδομένων SQL της ESG, επιτρέποντας πρόσβαση root, ανθεκτικότητα και επικοινωνίες εντολών και ελέγχου.
Οι δείκτες συμβιβασμού και οι κανόνες YARA που βοηθούν στην ανίχνευση μολύνσεων από τις τέσσερις πρόσφατα ανακαλυφθείσες παραλλαγές των SeaSpy και Whirlpool παρέχονται σε ξεχωριστό έγγραφο.
Εάν εντοπίσετε ύποπτη δραστηριότητα στη συσκευή Barracuda ESG ή ανακαλύψετε σημάδια παραβίασης από οποιοδήποτε από τα τρία αναφερόμενα backdoors, σας προτρέπουμε να επικοινωνήσετε με το Κέντρο Επιχειρήσεων της CISA 24/7 στο “report@cisa.gov” για να βοηθήσετε στις έρευνες.
Διαβάστε επίσης: Η Barracuda προειδοποιεί για παραβίαση των email gateways μέσω zero-day flaw
πηγή πληροφοριών:bleepingcomputer.com