ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), tehlikeye atılan Barracuda E -posta Güvenlik Ağ Geçidi (ESG) cihazlarına yapılan saldırılarda kullanılan 'Whirlpool' adlı arka kapı kötü amaçlı yazılımının keşfetti.
Mayıs ayında Barracuda, şüpheli bir Çin yanlısı hacker grubunun (UNC4841) CVE-2023-2868 sıfır gün güvenlik açığını kullanarak veri-hırsızlığı saldırılarında ESG'yi (E-posta Güvenlik Ağ Geçidi) ihlal ettiğini ortaya koydu.
CVE-2023-2868 Kritik bir şiddettir (CVSS V3: 9.8) Uzaktan Komut Enjeksiyon Güvenlik Açığı Barracuda ESG Sürümleri 5.1.3.001 ila 9.2.0.006.
Daha sonra saldırıların Ekim 2022'de başladığı ve Salt Water and Seaspy adlı daha önce bilinmeyen kötü amaçlı yazılımları ve kolay uzaktan erişim için ters kabuklar oluşturmak için Seaside adlı kötü niyetli bir araç kurmak için kullanıldığı keşfedildi.
Barracuda, yazılım güncellemeleri ile cihazları sabitlemek yerine, etkilenen tüm müşterilere yedek cihazlar sundu ve saldırıların başlangıçta düşünüldüğünden daha zarar verici olduğunu gösterdi.
CISA, o zamandan beri saldırılarda konuşlandırılan Submariner adlı ek bir kötü amaçlı yazılım hakkında daha fazla bilgi paylaştı.
Dün, CISA, Barracuda ESG cihazlarına yönelik saldırılarda kullanılan 'Whirlpool' [Virustotal] adlı başka bir arka kapı kötü amaçlı yazılımının keşfini açıkladı.
Whirlpool'un keşfi, Barracuda ESG'yi hedefleyen saldırılarda kullanılan üçüncü farklı arka kapı haline getiriyor ve şirketin neden cihazları yazılımla düzeltmek yerine değiştirmeyi seçtiğini gösteriyor.
"Bu eser," Whirlpool "adlı bir kötü amaçlı yazılım varyantı olarak tanımlanan 32 bit bir ELF dosyasıdır, CISA'nın güncellenmiş Barracuda ESG kötü amaçlı yazılım raporunu okur.
"Kötü amaçlı yazılım, bir Taşıma Katmanı Güvenliği (TLS) Ters Kabuk oluşturmak için bir modülden iki bağımsız değişken (C2 IP ve bağlantı noktası numarası) alır."
"Argümanları geçen modül analiz için mevcut değildi."
Gönderimlerden Virustotal'a kadar, Whirlpool kötü amaçlı yazılım 'PD' süreci altında çalışmış gibi görünüyor.
Mantiant, Haziran 2023 raporunda Whirlpool'u ilk belgeleyen ve kullanımını Çin tehdit aktörlerine atfetti.
Daha önce, 30 Mayıs 2023'te Barracuda, Seaspy'yi, meşru bir hizmet, yani "Barracudamailservice" olarak maskelenen ve tehdit aktörleri adına komutlar yürüten kalıcı bir pasif arka kapı olan hacklenen ESG cihazlarında buldu.
28 Temmuz 2023'te Cisa, 'Denizaltı' adlı ihlal edilmiş Barracuda cihazlarında daha önce bilinmeyen bir arka kapı konusunda uyardı.
Denizaltı, kök erişimine, kalıcılığa ve komuta ve kontrol iletişimine izin veren ESG'nin SQL veritabanında bulunur.
Yeni keşfedilen dört Seaspy ve Whirlpool varyantının enfeksiyonlarını tespit etmeye yardımcı olan uzlaşma ve YARA kurallarının göstergeleri ayrı bir belgede verilmiştir.
Barracuda ESG cihazınızdaki şüpheli etkinlikleri belirlerseniz veya bahsedilen üç arka koldan herhangi biri tarafından uzlaşma belirtileri keşfederseniz, soruşturmalarına yardımcı olmak için CISA'nın "Report@cisa.gov" adresindeki 7/24 Operasyon Merkezi ile iletişime geçmeniz istenir.
CISA: Hacked Barracuda ESG Aletleri'nde bulunan yeni denizaltı kötü amaçlı yazılım
EOL Zyxel yönlendiricide Gafgyt kötü amaçlı yazılımdan yararlanıyor
FBI, CISA ve NSA, 2022'nin en çok sömürülen güvenlik açıklarını ortaya çıkarıyor
CISA, idor web uygulaması güvenlik açıklarından kaynaklanan ihlal riskleri konusunda uyarıyor
Fin8 siber suçlu çetesi backround, yeni Sardonik kötü amaçlı yazılımlarla orgs orgs
Kaynak: Bleeping Computer