Το Barracuda zero-day καταχράται από το 2022 για την απόρριψη νέου κακόβουλου λογισμικού, την κλοπή δεδομένων
Related Posts
Εικόνα: Bing Image Creator
Η εταιρεία ασφάλειας δικτύων και email Barracuda αποκάλυψε σήμερα ότι μια ευπάθεια zero-day που είχε επιδιορθωθεί πρόσφατα είχε αξιοποιηθεί για τουλάχιστον επτά μήνες για να καλύψει τις συσκευές Email Security Gateway (ESG) των πελατών με προσαρμοσμένο κακόβουλο λογισμικό και να κλέψει δεδομένα.
Η εταιρεία λέει ότι μια συνεχιζόμενη έρευνα διαπίστωσε ότι το σφάλμα (που παρακολουθείται ως CVE-2023-2868) χρησιμοποιήθηκε για πρώτη φορά τον Οκτώβριο του 2022 για να αποκτήσει πρόσβαση σε “ένα υποσύνολο συσκευών ESG” και να αναπτύξει backdoors που έχουν σχεδιαστεί για να παρέχουν στους εισβολείς μόνιμη πρόσβαση στα παραβιασμένα συστήματα.
Ο Barracuda ανακάλυψε επίσης στοιχεία που αποδεικνύουν ότι οι δράστες της απειλής έκλεψαν πληροφορίες από τις οπισθόπορτες συσκευές ESG.
Το ελάττωμα ασφαλείας εντοπίστηκε στις 19 Μαΐου, μία ημέρα μετά την ειδοποίηση για ύποπτη κίνηση από συσκευές ESG και την πρόσληψη της εταιρείας κυβερνοασφάλειας Mandiant για να βοηθήσει στην έρευνα.
Η εταιρεία αντιμετώπισε το ζήτημα στις 20 Μαΐου εφαρμόζοντας μια ενημερωμένη έκδοση κώδικα ασφαλείας σε όλες τις συσκευές ESG και απέκλεισε την πρόσβαση των εισβολέων στις παραβιασμένες συσκευές μια μέρα αργότερα, αναπτύσσοντας ένα αποκλειστικό σενάριο.
Στις 24 Μαΐου, προειδοποίησε τους πελάτες ότι οι συσκευές ESG τους μπορεί να είχαν παραβιαστεί χρησιμοποιώντας το πλέον επιδιορθωμένο σφάλμα zero-day, συμβουλεύοντάς τους να διερευνήσουν το περιβάλλον τους, πιθανώς για να διασφαλίσουν ότι οι εισβολείς μετακινούνται πλευρικά σε άλλες συσκευές στο δίκτυό τους.
“Μια σειρά από ενημερωμένες εκδόσεις κώδικα ασφαλείας αναπτύσσονται σε όλες τις συσκευές για την προώθηση της στρατηγικής περιορισμού μας”, δήλωσε επίσης σήμερα ο Barracuda.
“Οι χρήστες των οποίων οι συσκευές πιστεύουμε ότι επηρεάστηκαν έχουν ειδοποιηθεί μέσω της διεπαφής χρήστη ESG για τις ενέργειες που πρέπει να ληφθούν. Η Barracuda έχει επίσης επικοινωνήσει με αυτούς τους συγκεκριμένους πελάτες.”
Η CISA πρόσθεσε το ελάττωμα CVE-2023-2868 στη λίστα των γνωστών εκμεταλλευόμενων τρωτών σημείων της την Παρασκευή, πιθανότατα ως προειδοποίηση προς τις ομοσπονδιακές υπηρεσίες που χρησιμοποιούν συσκευές ESG για να ελέγξουν τα δίκτυά τους για σημάδια εισβολής που προέρχονται από τον συμβιβασμό τους.
Προσαρμοσμένο κακόβουλο λογισμικό που αναπτύχθηκε στην επίθεση
Κατά τη διάρκεια της έρευνας βρέθηκαν αρκετά άγνωστα στελέχη κακόβουλου λογισμικού που είχαν σχεδιαστεί ειδικά για χρήση σε παραβιασμένα προϊόντα της Πύλης Ασφάλειας Email.
Η πρώτη, που ονομάστηκε Saltwater, είναι μια τρωανοποιημένη μονάδα Barracuda SMTP daemon (bsmtpd) που παρέχει στους επιτιθέμενους πρόσβαση σε κερκόπορτα σε μολυσμένες συσκευές.
Τα «χαρακτηριστικά» του περιλαμβάνουν τη δυνατότητα εκτέλεσης εντολών σε παραβιασμένες συσκευές, μεταφοράς αρχείων και διαμεσολάβησης/τούνελς της κακόβουλης κυκλοφορίας των εισβολέων για να βοηθήσει στην αποφυγή εντοπισμού.
Ένα άλλο είδος κακόβουλου λογισμικού που αναπτύχθηκε κατά τη διάρκεια αυτής της καμπάνιας και ονομάστηκε SeaSpy παρέχει επιμονή και μπορεί να ενεργοποιηθεί χρησιμοποιώντας “μαγικά πακέτα”. Το SeaSpy βοηθά στην παρακολούθηση της κυκλοφορίας της θύρας 25 (SMTP) και ορισμένοι από τους κώδικές του επικαλύπτονται με τη δημόσια διαθέσιμη παθητική κερκόπορτα cd00r.
Οι φορείς απειλών χρησιμοποίησαν επίσης μια κακόβουλη μονάδα bsmtpd με το όνομα SeaSide για να δημιουργήσουν αντίστροφα κελύφη μέσω εντολών SMTP HELO/EHLO που αποστέλλονται μέσω του διακομιστή εντολών και ελέγχου (C2) του κακόβουλου λογισμικού.
Συνιστάται στους πελάτες να ελέγχουν εάν οι συσκευές ESG τους είναι ενημερωμένες, να σταματήσουν να χρησιμοποιούν συσκευές που έχουν παραβιαστεί και να ζητήσουν μια νέα εικονική συσκευή ή συσκευή υλικού, να περιστρέψουν όλα τα διαπιστευτήρια που συνδέονται με παραβιασμένες συσκευές και να ελέγξουν τα αρχεία καταγραφής του δικτύου τους
για τις ΔΟΕ που κοινοποιήθηκαν σήμερα
και για συνδέσεις από άγνωστες IP.
Η Barracuda λέει ότι τα προϊόντα της χρησιμοποιούνται από περισσότερους από 200.000 οργανισμούς, συμπεριλαμβανομένων εταιρειών υψηλού προφίλ όπως η Samsung, η Delta Airlines, η Mitsubishi και η Kraft Heinz.
