بدافزار Whirlpool

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) حملات Advanced Persistent Threat (APT) را شناسایی کرده است که آسیب پذیری روز صفر را که قبلاً فاش نشده بود در ابزارهای دروازه امنیتی ایمیل Barracuda (ESG) هدف قرار می دهد.

آسیب‌پذیری مورد بحث، همانطور که در هشدار CISA مشخص شده است، برای معرفی بارهای بدافزار در پشتی Seapsy و Whirlpool به دستگاه‌های در معرض خطر مورد سوء استفاده قرار گرفت. CISA گزارش داده است که آنها موفق به دستیابی به چهار نمونه از تهدیدات بدافزار مستقر شده‌اند که شامل درهای پشتی Seapsy و Whirlpool می‌شود. سازش این دستگاه از طریق عوامل تهدید که بر شکاف امنیتی در Barracuda ESG سرمایه گذاری کردند، رخ داد. این آسیب‌پذیری که به‌عنوان CVE-2023-2868 ردیابی می‌شود، اجرای فرمان از راه دور را در دستگاه‌های ESG نسخه‌های 5.1.3.001 تا 9.2.0.006 را امکان‌پذیر می‌کند.

بدافزار Whirlpool یک اتصال درب پشتی به سیستم های شکسته ایجاد می کند

سیپسی یک مجرم شناخته شده و ماندگار در قلمرو جرایم باراکودا است. این به طرز ماهرانه ای خود را به عنوان یک سرویس Barracuda واقعی تحت نام "BarracudaMailService" پنهان می کند و به عوامل تهدید امکان اجرای دستورات دلخواه را بر روی دستگاه ESG می دهد. در یک نکته متضاد، Whirlpool یک درپشتی تهاجمی جدید را نشان می‌دهد که توسط مهاجمان برای ایجاد یک اتصال امن در قالب یک پوسته معکوس امنیت لایه حمل و نقل (TLS) به سرور Command-and-Control (C2) باز می‌گردد.

قابل ذکر است، Whirlpool به عنوان یک فرمت اجرایی و پیوندی 32 بیتی (ELF) شناسایی شد. این با دریافت دو آرگومان مهم - آدرس IP C2 و شماره پورت - از یک ماژول خاص عمل می کند. این پارامترها در شروع ایجاد پوسته معکوس امنیت لایه حمل و نقل (TLS) فوق ضروری هستند.

برای بررسی بیشتر، روش پوسته معکوس TLS به عنوان تکنیکی به کار می رود که در حملات سایبری به کار می رود و برای ایجاد یک مجرای ارتباطی امن و رمزگذاری شده بین یک سیستم در معرض خطر و یک سرور تحت کنترل مهاجمان عمل می کند. متأسفانه، ماژولی که استدلال های اساسی برای این فرآیند را ارائه می دهد برای تجزیه و تحلیل توسط CISA در دسترس نبود.

علاوه بر Seapsy و Whirlpool، تعداد انگشت شماری از گونه‌های درب پشتی دیگر که در آسیب‌پذیری‌های Barracuda ESG مورد بهره‌برداری قرار گرفته‌اند، کشف شدند، از جمله Saltwater، Submarine و Seaside.

CVE-2023-2868 به یک مسئله مهم برای باراکودا تبدیل شده است

آسیب‌پذیری مؤثر بر ESG به یک مصیبت نگران‌کننده برای Barracuda تبدیل شده است و به‌سرعت با افزایش اکسپلویت‌ها پس از کشف آسیب‌پذیری روز صفر در اکتبر 2022 مواجه شد. در ماه می سال جاری، این شرکت رسما وجود این آسیب‌پذیری را تأیید کرد و به سرعت وصله هایی را برای رفع مشکل منتشر کرد.

با این حال، تنها چند روز بعد، Barracuda یک بیانیه احتیاطی به مشتریان خود صادر کرد و به آنها توصیه کرد که دستگاه های بالقوه آسیب پذیر، به ویژه آن دسته از نسخه های عامل 5.1.3.001 تا 9.2.0.006 را جایگزین کنند، حتی اگر وصله ها اعمال شده باشند. حتی ماه‌ها بعد، شواهدی از CISA نشان می‌دهد که سوء استفاده‌های جاری همچنان ادامه دارد و سؤالاتی در مورد استراتژی باراکودا برای حل مؤثر این موضوع ایجاد می‌کند.