Νέα κερκόπορτα Whirlpool που χρησιμοποιείται σε hacks Barracuda ESG
Εικόνα:
Midjourney
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) ανακάλυψε ένα νέο κακόβουλο λογισμικό backdoor με το όνομα «Whirlpool» που χρησιμοποιείται σε επιθέσεις σε παραβιασμένες συσκευές Barracuda Email
Security
Gateway (ESG).
Τον Μάιο, ο Barracuda αποκάλυψε ότι μια ύποπτη ομάδα χάκερ υπέρ της Κίνας (UNC4841) είχε παραβιάσει συσκευές ESG (Email Security Gateway) σε επιθέσεις κλοπής δεδομένων χρησιμοποιώντας το
CVE-2023-2868
ευπάθεια μηδενικής ημέρας.
Το CVE-2023-2868 είναι μια ευπάθεια απομακρυσμένης έγχυσης εντολών κρίσιμης σοβαρότητας (CVSS v3: 9.8) που επηρεάζει τις εκδόσεις Barracuda ESG 5.1.3.001 έως 9.2.0.006.
Αργότερα ανακαλύφθηκε ότι οι επιθέσεις ξεκίνησαν τον Οκτώβριο του 2022 και χρησιμοποιήθηκαν για την εγκατάσταση προηγουμένως άγνωστου κακόβουλου λογισμικού με το όνομα Saltwater και SeaSpy και ενός κακόβουλου εργαλείου που ονομάζεται SeaSide για τη δημιουργία αντίστροφων κελύφους για εύκολη απομακρυσμένη πρόσβαση.
Αντί να διορθώσει συσκευές με ενημερώσεις λογισμικού, ο Barracuda πρόσφερε συσκευές αντικατάστασης σε όλους τους πελάτες που επηρεάστηκαν χωρίς χρέωση, υποδεικνύοντας ότι οι επιθέσεις ήταν πιο επιζήμιες από ό,τι αρχικά πιστεύαμε.
Η CISA μοιράστηκε από τότε περισσότερες λεπτομέρειες σχετικά με ένα επιπλέον κακόβουλο λογισμικό που ονομάζεται Submariner που αναπτύχθηκε στις επιθέσεις.
Νέο κακόβουλο λογισμικό Whirlpool
Χθες, η CISA αποκάλυψε την ανακάλυψη ενός άλλου κακόβουλου λογισμικού backdoor με το όνομα «Whirlpool» [
VirusTotal
] που βρέθηκε ότι χρησιμοποιήθηκε στις επιθέσεις σε συσκευές Barracuda ESG.
Η ανακάλυψη του Whirlpool καθιστά αυτό το τρίτο ξεχωριστό backdoor που χρησιμοποιείται στις επιθέσεις που στοχεύουν το Barracuda ESG, καταδεικνύοντας για άλλη μια φορά γιατί η εταιρεία επέλεξε να αντικαταστήσει συσκευές αντί να τις διορθώσει με λογισμικό.
“Αυτό το τεχνούργημα είναι ένα αρχείο ELF 32-bit που έχει αναγνωριστεί ως παραλλαγή κακόβουλου λογισμικού με το όνομα “WHIRLPOOL”, αναφέρεται στο ενημερωμένο της CISA
Αναφορά κακόβουλου λογισμικού Barracuda ESG
.
“Το κακόβουλο λογισμικό παίρνει δύο ορίσματα (C2 IP και αριθμός θύρας) από μια λειτουργική μονάδα για να δημιουργήσει ένα αντίστροφο κέλυφος ασφάλειας επιπέδου μεταφοράς (TLS).
“Η ενότητα που μεταβιβάζει τα ορίσματα δεν ήταν διαθέσιμη για ανάλυση.”
Από τις υποβολές στο VirusTotal, το κακόβουλο λογισμικό Whirlpool φαίνεται να λειτουργεί κάτω από το «
πδ
‘ επεξεργάζομαι, διαδικασία.
Προηγουμένως, στις 30 Μαΐου 2023, ο Barracuda βρήκε το SeaSpy σε παραβιασμένες συσκευές ESG, μια επίμονη παθητική κερκόπορτα που μεταμφιέζεται ως νόμιμη υπηρεσία, δηλαδή το “BarracudaMailService”, και εκτελεί εντολές για λογαριασμό των παραγόντων απειλής.
Σενάριο προετοιμασίας SeaSpy
(CISA)
Στις 28 Ιουλίου 2023, η CISA προειδοποίησε για μια προηγουμένως άγνωστη κερκόπορτα σε παραβιασμένες συσκευές Barracuda με το όνομα «Υποβρύχιο».
Το Submarine βρίσκεται στη βάση δεδομένων SQL του ESG, επιτρέποντας την πρόσβαση root, την επιμονή και τις επικοινωνίες εντολών και ελέγχου.
Στο
χωριστό έγγραφο
.
Εάν εντοπίσετε ύποπτη δραστηριότητα στη συσκευή σας Barracuda ESG ή ανακαλύψετε σημάδια συμβιβασμού από οποιαδήποτε από τις τρεις αναφερόμενες κερκόπορτες, σας προτρέπουμε να επικοινωνήσετε με το Κέντρο Επιχειρήσεων της CISA 24/7 στη διεύθυνση “
” για να βοηθήσετε στις έρευνές τους.
