Site icon Kiber.ba

CISA: Novi Whirlpool Backdoor korišten u Barracuda ESG kampanji

CISA: Novi Whirlpool Backdoor korišten u Barracuda ESG kampanji - Kiber.ba

CISA: Novi Whirlpool Backdoor korišten u Barracuda ESG kampanji - Kiber.ba

Istraživači sigurnosti otkrili su treći novi backdoor koji je nedavno korišten u napadima na korisnike Barracuda ESG uređaja.

Američka agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) objavila je novi savjet u kojem se detaljno opisuje zlonamjerni softver, nazvan “Whirlpool”.

Tvrdilo se da je backdoor uspostavio TLS obrnuti shell na command-and-control serveru (C2).

“Ovaj artefakt je 32-bitna ELF datoteka koja je identifikovana kao varijanta zlonamjernog softvera pod nazivom ‘Whirlpool'”, navodi se u dokumentu.

“Zlonamjerni softver uzima dva argumenta (C2 IP i broj porta) iz modula da uspostavi Transport Layer Security (TLS) obrnuti shell. Modul koji prosljeđuje argumente nije bio dostupan za analizu.”

Ovo dolazi nakon odvojenog ažuriranja CISA-e krajem jula u kojem je agencija otkrila da je u kampanji korišten i poseban backdoor, nazvan “Submarine”. Isti je opisan kao “novi uporni backdoor koji se izvršava s root privilegijama.”

Prodavac sigurnosti Barracuda Networks donio je neobičnu odluku još u junu da svim korisnicima svog uređaja Email Security Gateway (ESG) ponudi zamjenski uređaj, nakon otkrića sofisticirane kampanje sajber špijunaže.

Napadi su iskoristili zero-day ranjivost, praćenu kao  CVE-2023-2868, i trajali su od oktobra 2022. godine, tvrdi prodavac.  

Mandiant je naknadno otkrio da je haker vjerovatno kineska APT grupa (UNC4841). Barracuda je otkrila napade 19. maja i dva dana kasnije zakrpila zero-day, ali je grupa promijenila zlonamjerni softver i implementirala nove mehanizme postojanosti kako bi održala pristup.

Zatim je povećao učestalost svojih napada i ciljao žrtve u 16 zemalja u posljednja dva dana. Tada je Barracuda donijela odluku da pozove sve kupce da zamjene svoj uređaj.

Grupa je također koristila zlonamjerni softver poznat kao Seaside, kao i ranije neotkrivene varijante Saltwater i Seaspy u napadima.

Izvor: Infosecurity Magazine

Exit mobile version