មេរោគ Whirlpool

ទីភ្នាក់ងារសន្តិសុខតាមអ៊ីនធឺណិត និងហេដ្ឋារចនាសម្ព័ន្ធរបស់សហរដ្ឋអាមេរិក (CISA) បានកំណត់អត្តសញ្ញាណការវាយប្រហារ Advanced Persistent Threat (APT) ដែលផ្តោតលើភាពងាយរងគ្រោះសូន្យថ្ងៃដែលមិនបានបង្ហាញពីមុននៅក្នុងឧបករណ៍ Barracuda Email Security Gateway (ESG) ។

ភាពងាយរងគ្រោះនៅក្នុងសំណួរ ដូចដែលបានរៀបរាប់នៅក្នុងការដាស់តឿន CISA ត្រូវបានគេទាញយកប្រយោជន៍ដើម្បីណែនាំ Seapsy និង Whirlpool backdoor malware payloads ទៅលើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។ CISA បានរាយការណ៍ថាពួកគេបានគ្រប់គ្រងដើម្បីទទួលបានគំរូចំនួនបួននៃការគំរាមកំហែងមេរោគដែលបានដាក់ពង្រាយ ដែលរួមមាន Seapsy និង Whirlpool backdoors ។ ការសម្របសម្រួលនៃឧបករណ៍នេះបានកើតឡើងតាមរយៈតួអង្គគំរាមកំហែងដែលទាមទារឱ្យមានគម្លាតសុវត្ថិភាពនៅក្នុង Barracuda ESG ។ ភាពងាយរងគ្រោះនេះដែលត្រូវបានតាមដានជា CVE-2023-2868 បើកដំណើរការការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយនៅលើឧបករណ៍ ESG កំណែប្រតិបត្តិការ 5.1.3.001 ដល់ 9.2.0.006 ។

មេរោគ Whirlpool បង្កើតការភ្ជាប់ Backdoor ទៅប្រព័ន្ធដែលបំពាន

Seapsy គឺជាពិរុទ្ធជនដ៏ល្បីល្បាញ និងយូរអង្វែងនៅក្នុងអាណាចក្រនៃបទល្មើស Barracuda ។ វាក្លែងខ្លួនជាសេវាកម្ម Barracuda ពិតប្រាកដក្រោមឈ្មោះ 'BarracudaMailService' ដែលផ្តល់លទ្ធភាពឱ្យអ្នកគំរាមកំហែងប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្តលើឧបករណ៍ ESG ។ នៅលើចំណាំផ្ទុយគ្នា Whirlpool តំណាងឱ្យ backdoor វាយលុកថ្មីដែលប្រើដោយអ្នកវាយប្រហារដើម្បីបង្កើតការតភ្ជាប់សុវត្ថិភាពក្នុងទម្រង់នៃ Transport Layer Security (TLS) សែលបញ្ច្រាសត្រឡប់ទៅម៉ាស៊ីនមេ Command-and-Control (C2) ។

គួរកត់សម្គាល់ថា Whirlpool ត្រូវបានកំណត់ថាជាទម្រង់ដែលអាចប្រតិបត្តិបាន និងអាចភ្ជាប់បាន 32 ប៊ីត (ELF) ។ វាដំណើរការដោយទទួលបានអាគុយម៉ង់សំខាន់ពីរ - អាសយដ្ឋាន IP C2 និងលេខច្រក - ពីម៉ូឌុលជាក់លាក់មួយ។ ប៉ារ៉ាម៉ែត្រទាំងនេះមានសារៈសំខាន់ក្នុងការផ្តួចផ្តើមបង្កើតសែលបញ្ច្រាសនៃស្រទាប់សុវត្ថិភាពដឹកជញ្ជូន (TLS) ដែលបានរៀបរាប់ខាងលើ។

ដើម្បីស្វែងយល់បន្ថែម វិធីសាស្ត្រសែលបញ្ច្រាស TLS បម្រើជាបច្ចេកទេសដែលប្រើក្នុងការវាយប្រហារតាមអ៊ីនធឺណិត ដែលដំណើរការដើម្បីបង្កើតបណ្តាញទំនាក់ទំនងដែលមានសុវត្ថិភាព និងអ៊ិនគ្រីបរវាងប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល និងម៉ាស៊ីនមេដែលស្ថិតនៅក្រោមការគ្រប់គ្រងរបស់អ្នកវាយប្រហារ។ ជាអកុសល ម៉ូឌុលដែលផ្តល់នូវអាគុយម៉ង់សំខាន់ៗសម្រាប់ដំណើរការនេះមិនមានសម្រាប់ការវិភាគដោយ CISA ទេ។

បន្ថែមពីលើ Seapsy និង Whirlpool មួយក្តាប់តូចនៃ backdoor strains ផ្សេងទៀតដែលត្រូវបានកេងប្រវ័ញ្ចនៅក្នុងភាពងាយរងគ្រោះ Barracuda ESG ត្រូវបានរកឃើញ រួមទាំងទឹកប្រៃ នាវាមុជទឹក និង Seaside ។

CVE-2023-2868 បានប្រែទៅជាបញ្ហាសំខាន់សម្រាប់ Barracuda

ភាពងាយរងគ្រោះដែលប៉ះពាល់ដល់ ESG បានវិវត្តទៅជាបញ្ហាទាក់ទងនឹង Barracuda ដោយជួបប្រទះនឹងការកើនឡើងយ៉ាងឆាប់រហ័សនៃការកេងប្រវ័ញ្ចបន្ទាប់ពីការរកឃើញនៃភាពងាយរងគ្រោះសូន្យថ្ងៃក្នុងខែតុលា ឆ្នាំ 2022។ ក្នុងខែឧសភានៃឆ្នាំបច្ចុប្បន្ន ក្រុមហ៊ុនបានទទួលស្គាល់ជាផ្លូវការនូវភាពងាយរងគ្រោះ និង បានចេញផ្សាយបំណះភ្លាមៗដើម្បីដោះស្រាយបញ្ហា។

ទោះជាយ៉ាងណាក៏ដោយ ប៉ុន្មានថ្ងៃក្រោយមក Barracuda បានចេញសេចក្តីថ្លែងការណ៍ព្រមានដល់អតិថិជនរបស់ខ្លួន ដោយណែនាំពួកគេឱ្យជំនួសឧបករណ៍ដែលងាយរងគ្រោះ ជាពិសេសកំណែប្រតិបត្តិការ 5.1.3.001 ដល់ 9.2.0.006 ទោះបីជាបំណះត្រូវបានអនុវត្តក៏ដោយ។ សូម្បីតែប៉ុន្មានខែក្រោយមក ភស្តុតាងពី CISA បង្ហាញថាការកេងប្រវ័ញ្ចនៅតែបន្តកើតមាន ដោយបន្សល់ទុកនូវសំណួរទាក់ទងនឹងយុទ្ធសាស្ត្ររបស់ Barracuda ដើម្បីដោះស្រាយបញ្ហាប្រកបដោយប្រសិទ្ធភាព។