వర్ల్‌పూల్ మాల్వేర్

యునైటెడ్ స్టేట్స్ సైబర్‌సెక్యూరిటీ అండ్ ఇన్‌ఫ్రాస్ట్రక్చర్ సెక్యూరిటీ ఏజెన్సీ (CISA) బార్రాకుడా ఇమెయిల్ సెక్యూరిటీ గేట్‌వే (ESG) ఉపకరణాలలో గతంలో వెల్లడించని జీరో-డే దుర్బలత్వాన్ని లక్ష్యంగా చేసుకుని అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) దాడులను గుర్తించింది.

CISA అలర్ట్‌లో వివరించిన విధంగా, సందేహాస్పద దుర్బలత్వం, రాజీపడిన పరికరాలలో సీప్సీ మరియు వర్ల్‌పూల్ బ్యాక్‌డోర్ మాల్వేర్ పేలోడ్‌లను పరిచయం చేయడానికి ఉపయోగించబడింది. సీప్సీ మరియు వర్ల్‌పూల్ బ్యాక్‌డోర్‌లను కలిగి ఉన్న మాల్వేర్ బెదిరింపుల యొక్క నాలుగు నమూనాలను వారు పొందగలిగారని CISA నివేదించింది. పరికరం యొక్క రాజీ బెదిరింపు నటుల ద్వారా బర్రాకుడా ESGలోని భద్రతా గ్యాప్‌ను ఉపయోగించుకుంది. ఈ దుర్బలత్వం, CVE-2023-2868గా ట్రాక్ చేయబడింది, ESG ఉపకరణాల ఆపరేటింగ్ వెర్షన్‌లు 5.1.3.001 నుండి 9.2.0.006 వరకు రిమోట్ కమాండ్ అమలును ప్రారంభిస్తుంది.

వర్ల్‌పూల్ మాల్వేర్ విచ్ఛిన్నమైన సిస్టమ్‌లకు బ్యాక్‌డోర్ కనెక్షన్‌ను ఏర్పాటు చేస్తుంది

సీప్సీ బర్రాకుడా నేరాల పరిధిలో బాగా తెలిసిన మరియు శాశ్వతమైన అపరాధి. ఇది 'BarracudaMailService' పేరుతో ఒక నిజమైన బార్రాకుడా సేవ వలె తెలివిగా మారువేషంలో ఉంది, ESG ఉపకరణంపై ఏకపక్ష ఆదేశాలను అమలు చేయడానికి ముప్పు నటులకు అవకాశం కల్పిస్తుంది. విరుద్ధమైన గమనికలో, కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌కు తిరిగి ట్రాన్స్‌పోర్ట్ లేయర్ సెక్యూరిటీ (TLS) రివర్స్ షెల్ రూపంలో సురక్షిత కనెక్షన్‌ని ఏర్పాటు చేయడానికి దాడి చేసేవారిచే ఉపయోగించబడిన కొత్త ప్రమాదకర బ్యాక్‌డోర్‌ను వర్ల్‌పూల్ సూచిస్తుంది.

ముఖ్యంగా, వర్ల్‌పూల్ 32-బిట్ ఎక్జిక్యూటబుల్ మరియు లింక్ చేయదగిన ఫార్మాట్ (ELF)గా గుర్తించబడింది. ఇది నిర్దిష్ట మాడ్యూల్ నుండి రెండు క్లిష్టమైన ఆర్గ్యుమెంట్‌లను స్వీకరించడం ద్వారా పనిచేస్తుంది-C2 IP చిరునామా మరియు పోర్ట్ నంబర్. పైన పేర్కొన్న ట్రాన్స్‌పోర్ట్ లేయర్ సెక్యూరిటీ (TLS) రివర్స్ షెల్ ఏర్పాటును ప్రారంభించడంలో ఈ పారామితులు అవసరం.

మరింత లోతుగా పరిశోధించడానికి, TLS రివర్స్ షెల్ పద్ధతి సైబర్‌టాక్‌లలో ఉపయోగించే ఒక టెక్నిక్‌గా పనిచేస్తుంది, ఇది రాజీపడిన సిస్టమ్ మరియు దాడి చేసేవారి నియంత్రణలో ఉన్న సర్వర్ మధ్య సురక్షితమైన మరియు ఎన్‌క్రిప్టెడ్ కమ్యూనికేషన్ కండ్యూట్‌ను ఏర్పాటు చేయడానికి పనిచేస్తుంది. దురదృష్టవశాత్తూ, ఈ ప్రక్రియ కోసం అవసరమైన వాదనలను అందించే మాడ్యూల్ CISA ద్వారా విశ్లేషణకు అందుబాటులో లేదు.

సీప్సీ మరియు వర్ల్‌పూల్‌తో పాటు, సాల్ట్‌వాటర్, సబ్‌మెరైన్ మరియు సముద్రతీరంతో సహా, బార్రాకుడా ESG దుర్బలత్వాలలో దోపిడీ చేయబడిన కొన్ని ఇతర బ్యాక్‌డోర్ జాతులు కనుగొనబడ్డాయి.

CVE-2023-2868 బర్రాకుడాకు ముఖ్యమైన సమస్యగా మారింది

అక్టోబరు 2022లో జీరో-డే దుర్బలత్వాన్ని కనుగొన్న తర్వాత ESGని ప్రభావితం చేసే దుర్బలత్వం బర్రాకుడాకు సంబంధించిన అగ్నిపరీక్షగా మారింది. ప్రస్తుత సంవత్సరం మేలో, కంపెనీ అధికారికంగా దుర్బలత్వం ఉనికిని గుర్తించింది మరియు సమస్యను పరిష్కరించడానికి వెంటనే ప్యాచ్‌లను విడుదల చేసింది.

అయితే, కొన్ని రోజుల తర్వాత, Barracuda దాని వినియోగదారులకు ఒక హెచ్చరిక ప్రకటనను జారీ చేసింది, పాచెస్ వర్తింపజేయబడినప్పటికీ, ముఖ్యంగా హాని కలిగించే ఉపకరణాలను, ప్రత్యేకంగా ఆ ఆపరేటింగ్ వెర్షన్ 5.1.3.001 నుండి 9.2.0.006 వరకు భర్తీ చేయమని వారికి సలహా ఇచ్చింది. నెలల తర్వాత కూడా, CISA నుండి సాక్ష్యాలు కొనసాగుతున్న దోపిడీలు కొనసాగుతున్నాయని సూచిస్తున్నాయి, సమస్యను సమర్థవంతంగా పరిష్కరించడానికి బర్రాకుడా యొక్క వ్యూహానికి సంబంధించిన ప్రశ్నలు ఉన్నాయి.