برامج ضارة في الدوامة
حددت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) هجمات التهديد المستمر المتقدم (APT) التي تستهدف ثغرة أمنية لم يتم الكشف عنها سابقًا في أجهزة Barracuda Email Security Gateway (ESG).
تم استغلال الثغرة الأمنية المعنية ، كما هو موضح في تنبيه CISA ، لإدخال حمولات البرامج الضارة المستترة من Seapsy و Whirlpool على الأجهزة المخترقة. أفادت CISA أنها تمكنت من الحصول على أربع عينات من تهديدات البرامج الضارة المنتشرة ، والتي تشمل Seapsy و Whirlpool backdoors. تم اختراق الجهاز من خلال الجهات الفاعلة المهددة بالاستفادة من الفجوة الأمنية في Barracuda ESG. تتيح هذه الثغرة الأمنية ، التي تم تتبعها على أنها CVE-2023-2868 ، تنفيذ الأوامر عن بُعد على أجهزة ESG التي تعمل بإصدارات 5.1.3.001 حتى 9.2.0.006.
تنشئ برامج Whirlpool الضارة اتصالًا خلفيًا للأنظمة المخترقة
Seapsy هو الجاني المعروف والدائم في عالم جرائم Barracuda. إنها تتنكر ببراعة على أنها خدمة حقيقية من Barracuda تحت اسم BarracudaMailService ، حيث تتيح للجهات الفاعلة التهديد تنفيذ أوامر تعسفية على جهاز ESG. في ملاحظة متناقضة ، يمثل Whirlpool بابًا خلفيًا هجوميًا جديدًا يسخره المهاجمون لإنشاء اتصال آمن في شكل غلاف عكسي لأمن طبقة النقل (TLS) إلى خادم الأوامر والتحكم (C2).
والجدير بالذكر أن Whirlpool تم تحديده على أنه تنسيق 32 بت قابل للتنفيذ وقابل للربط (ELF). وهي تعمل من خلال تلقي وسيطتين هامتين - عنوان C2 IP ورقم المنفذ - من وحدة نمطية معينة. هذه المعلمات ضرورية لبدء إنشاء الغلاف العكسي لأمان طبقة النقل (TLS) المذكور أعلاه.
للتعمق أكثر ، تعمل طريقة TLS العكسية كطريقة مستخدمة في الهجمات الإلكترونية ، وتعمل على إنشاء قناة اتصال آمنة ومشفرة بين نظام مخترق وخادم تحت سيطرة المهاجمين. لسوء الحظ ، لم يكن النموذج الذي يقدم الحجج الأساسية لهذه العملية متاحًا للتحليل بواسطة CISA.
بالإضافة إلى Seapsy و Whirlpool ، تم اكتشاف عدد قليل من سلالات الباب الخلفي الأخرى التي تم استغلالها في ثغرات Barracuda ESG ، بما في ذلك المياه المالحة والغواصة وشاطئ البحر.
تحولت CVE-2023-2868 إلى مشكلة مهمة لباراكودا
تطورت الثغرة التي تؤثر على ESG إلى محنة مقلقة لباراكودا ، حيث واجهت سريعًا زيادة في برمجيات إكسبلويت عقب اكتشاف ثغرة يوم الصفر في أكتوبر 2022. في مايو من العام الحالي ، أقرت الشركة رسميًا بوجود الثغرة الأمنية و تم إصدار التصحيحات على الفور لمعالجة المشكلة.
ومع ذلك ، بعد أيام قليلة ، أصدر Barracuda بيانًا تحذيريًا لعملائه ، نصحهم باستبدال الأجهزة التي يحتمل أن تكون معرضة للخطر ، وتحديداً تلك الإصدارات العاملة من 5.1.3.001 إلى 9.2.0.006 ، حتى لو تم تطبيق التصحيحات. حتى بعد مرور أشهر ، تشير الأدلة من CISA إلى أن برمجيات إكسبلويت المستمرة لا تزال قائمة ، مما يترك أسئلة بخصوص استراتيجية باراكودا لحل المشكلة بشكل فعال.
