Phần mềm độc hại xoáy nước

Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) đã xác định các cuộc tấn công Mối đe dọa liên tục nâng cao (APT) nhắm vào lỗ hổng zero-day chưa được tiết lộ trước đó trong các thiết bị Cổng bảo mật email Barracuda (ESG).

Lỗ hổng được đề cập, như được nêu trong cảnh báo của CISA, đã bị khai thác để đưa phần mềm độc hại Seapsy và Whirlpool vào các thiết bị bị xâm nhập. CISA đã báo cáo rằng họ đã thu được bốn mẫu về các mối đe dọa phần mềm độc hại đã triển khai, bao gồm các cửa hậu Seapsy và Whirlpool. Sự xâm nhập của thiết bị đã xảy ra thông qua các tác nhân đe dọa lợi dụng lỗ hổng bảo mật trong Barracuda ESG. Lỗ hổng này, được theo dõi là CVE-2023-2868, cho phép thực thi lệnh từ xa trên các thiết bị ESG vận hành phiên bản 5.1.3.001 đến 9.2.0.006.

Phần mềm độc hại Whirlpool thiết lập kết nối cửa hậu với các hệ thống bị xâm phạm

Seapsy là một thủ phạm nổi tiếng và dai dẳng trong lĩnh vực phạm tội của Barracuda. Nó ngụy trang thành một dịch vụ Barracuda chính hãng dưới tên 'BarracudaMailService', cho phép các tác nhân đe dọa thực thi các lệnh tùy ý trên thiết bị ESG. Ngược lại, Whirlpool đại diện cho một cửa hậu tấn công mới được những kẻ tấn công khai thác để thiết lập kết nối an toàn dưới dạng lớp vỏ ngược Bảo mật tầng vận chuyển (TLS) quay trở lại máy chủ Command-and-Control (C2).

Đáng chú ý, Whirlpool được xác định là Định dạng có thể thực thi và có thể liên kết 32-bit (ELF). Nó hoạt động bằng cách nhận hai đối số quan trọng—địa chỉ IP C2 và số cổng—từ một mô-đun cụ thể. Các tham số này rất cần thiết trong việc bắt đầu thiết lập trình bao đảo ngược Bảo mật tầng vận chuyển (TLS) đã nói ở trên.

Để tìm hiểu sâu hơn, phương pháp shell đảo ngược TLS đóng vai trò là một kỹ thuật được sử dụng trong các cuộc tấn công mạng, có chức năng thiết lập một đường dẫn liên lạc được mã hóa và an toàn giữa một hệ thống bị xâm nhập và một máy chủ dưới sự kiểm soát của những kẻ tấn công. Thật không may, mô-đun cung cấp các đối số cần thiết cho quy trình này không có sẵn để CISA phân tích.

Ngoài Seapsy và Whirlpool, một số chủng backdoor khác được khai thác trong các lỗ hổng ESG của Barracuda đã được phát hiện, bao gồm Saltwater, Submarine và Seaside.

CVE-2023-2868 đã trở thành một vấn đề quan trọng đối với Barracuda

Lỗ hổng ảnh hưởng đến ESG đã phát triển thành một thử thách đáng lo ngại đối với Barracuda, nhanh chóng gặp phải sự gia tăng số lần khai thác sau khi phát hiện ra lỗ hổng zero-day vào tháng 10 năm 2022. Vào tháng 5 năm nay, công ty đã chính thức thừa nhận sự tồn tại của lỗ hổng và kịp thời phát hành các bản vá để giải quyết vấn đề.

Tuy nhiên, chỉ vài ngày sau, Barracuda đã đưa ra một tuyên bố cảnh báo cho khách hàng của mình, khuyên họ nên thay thế các thiết bị có khả năng dễ bị tấn công, cụ thể là các phiên bản hoạt động từ 5.1.3.001 đến 9.2.0.006, ngay cả khi các bản vá đã được áp dụng. Thậm chí nhiều tháng sau, bằng chứng từ CISA cho thấy rằng các hoạt động khai thác đang diễn ra vẫn tiếp diễn, đặt ra câu hỏi liên quan đến chiến lược của Barracuda để giải quyết vấn đề một cách hiệu quả.