Istraživači sigurnosti otkrili su treći novi backdoor koji je nedavno korišten u napadima na korisnike Barracuda ESG uređaja.
Američka agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) objavila je novi savjet u kojem se detaljno opisuje zlonamjerni softver, nazvan “Whirlpool”.
Tvrdilo se da je backdoor uspostavio TLS obrnuti shell na command-and-control serveru (C2).
“Ovaj artefakt je 32-bitna ELF datoteka koja je identifikovana kao varijanta zlonamjernog softvera pod nazivom ‘Whirlpool'”, navodi se u dokumentu.
“Zlonamjerni softver uzima dva argumenta (C2 IP i broj porta) iz modula da uspostavi Transport Layer Security (TLS) obrnuti shell. Modul koji prosljeđuje argumente nije bio dostupan za analizu.”
Ovo dolazi nakon odvojenog ažuriranja CISA-e krajem jula u kojem je agencija otkrila da je u kampanji korišten i poseban backdoor, nazvan “Submarine”. Isti je opisan kao “novi uporni backdoor koji se izvršava s root privilegijama.”
Prodavac sigurnosti Barracuda Networks donio je neobičnu odluku još u junu da svim korisnicima svog uređaja Email Security Gateway (ESG) ponudi zamjenski uređaj, nakon otkrića sofisticirane kampanje sajber špijunaže.
Napadi su iskoristili zero-day ranjivost, praćenu kao CVE-2023-2868, i trajali su od oktobra 2022. godine, tvrdi prodavac.
Mandiant je naknadno otkrio da je haker vjerovatno kineska APT grupa (UNC4841). Barracuda je otkrila napade 19. maja i dva dana kasnije zakrpila zero-day, ali je grupa promijenila zlonamjerni softver i implementirala nove mehanizme postojanosti kako bi održala pristup.
Zatim je povećao učestalost svojih napada i ciljao žrtve u 16 zemalja u posljednja dva dana. Tada je Barracuda donijela odluku da pozove sve kupce da zamjene svoj uređaj.
Grupa je također koristila zlonamjerni softver poznat kao Seaside, kao i ranije neotkrivene varijante Saltwater i Seaspy u napadima.
Izvor: Infosecurity Magazine