הנחות רישוי רב
Threat Database Malware תוכנות זדוניות של Whirlpool

תוכנות זדוניות של Whirlpool

עד Mezo ב-Malware, Advanced Persistent Threat (APT), Backdoors
לתרגם ל:
עברית

הסוכנות לאבטחת סייבר ותשתיות של ארצות הברית (CISA) זיהתה התקפות מתמשכות (Advanced Persistent Threat) המכוונות לפגיעות של יום אפס שלא נחשפה בעבר במכשירי Barracuda Email Security Gateway (ESG).

הפגיעות המדוברת, כפי שתוארה בהתראה של CISA, נוצלה כדי להציג מטענים של תוכנות זדוניות בדלת האחורית של Seapsy ו-Whirlpool למכשירים שנפגעו. CISA דיווחה שהם הצליחו להשיג ארבע דוגמאות של איומי תוכנות זדוניות שנפרסו, הכוללות את הדלת האחורית של Seapsy ו- Whirlpool. הפשרה של המכשיר התרחשה באמצעות שחקני איומים שניצלו את פער האבטחה ב-Barracuda ESG. פגיעות זו, במעקב כ-CVE-2023-2868, מאפשרת ביצוע פקודות מרחוק במכשירי ESG הפועלים בגרסאות 5.1.3.001 עד 9.2.0.006.

התוכנה הזדונית של Whirlpool מייצרת חיבור בדלת אחורית למערכות שנפרצו

סיפסי הוא עבריין ידוע ומתמשך בתחום עבירות הברקודה. הוא מתחפש בכישרון לשירות Barracuda אמיתי תחת השם 'BarracudaMailService', ומאפשר לשחקני איומים לבצע פקודות שרירותיות על מכשיר ה-ESG. בנימה מנוגדת, Whirlpool מייצגת דלת אחורית התקפית חדשה שנרתמה על ידי תוקפים ליצירת חיבור מאובטח בצורה של מעטפת הפוכה של Transport Layer Security (TLS) חזרה לשרת הפקודה והבקרה (C2).

יש לציין ש- Whirlpool זוהה כפורמט 32 סיביות בר הפעלה וניתן לקישור (ELF). הוא פועל על ידי קבלת שני ארגומנטים קריטיים - כתובת IP C2 ומספר יציאה - ממודול ספציפי. פרמטרים אלו חיוניים לתחילת הקמת המעטפת ההפוכה של Transport Layer Security (TLS) הנ"ל.

כדי להתעמק יותר, שיטת המעטפת ההפוכה של TLS משמשת כטכניקה המופעלת בהתקפות סייבר, ומתפקדת ליצירת צינור תקשורת מאובטח ומוצפן בין מערכת שנפרצה לשרת בשליטת התוקפים. לרוע המזל, המודול שמספק את הטיעונים החיוניים לתהליך זה לא היה זמין לניתוח על ידי CISA.

בנוסף ל-Seapsy ול-Whirlpool, התגלו קומץ זנים אחרים של דלת אחורית שנוצלו בפגיעות של Barracuda ESG, כולל Saltwater, Submarine ו- Seaside.

CVE-2023-2868 הפך לבעיה משמעותית עבור ברקודה

הפגיעות המשפיעה על ה-ESG התפתחה למבחן מדאיג עבור ברקודה, ונתקלת במהירות בגל ניצול בעקבות גילוי הפגיעות של יום האפס באוקטובר 2022. בחודש מאי השנה הנוכחית, החברה הכירה רשמית בקיומה של הפגיעות. שיחררו טלאים מיידיים כדי לטפל בבעיה.

עם זאת, ימים ספורים לאחר מכן, ברקודה פרסמה הצהרת אזהרה ללקוחותיה, ומייעצה להם להחליף מכשירים שעלולים להיות פגיעים, במיוחד אלה שפועלים בגרסאות 5.1.3.001 עד 9.2.0.006, גם אם התיקונים הוחלו. אפילו חודשים לאחר מכן, עדויות מ-CISA מצביעות על כך שהניצול המתמשך נמשך, ומותיר שאלות לגבי האסטרטגיה של ברקודה לפתור את העניין ביעילות.

מגמות

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
15,882
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...