Aktualności

cyber-attack3

CISA publikuje raporty analizy złośliwego oprogramowania na backdoorach Barracuda

CISA opublikowała trzy raporty z analizy złośliwego oprogramowania dotyczące wariantów złośliwego oprogramowania powiązanych z wykorzystaniem CVE-2023-2868. CVE-2023-2868 to luka w zabezpieczeniach dotycząca zdalnego wstrzykiwania poleceń w urządzeniach Barracuda Email Security Gateway (ESG) Appliance w wersjach 5.1.3.001-9.2.0.006. Została ona wykorzystana jako dzień zerowy już w październiku 2022 r. w celu uzyskania dostępu do urządzeń ESG. Według doniesień branżowych, aktorzy wykorzystali tę lukę, aby uzyskać początkowy dostęp do systemów ofiar, a następnie wszczepili backdoory w celu ustanowienia i utrzymania trwałości.

CISA przeanalizowała warianty złośliwego oprogramowania typu backdoor uzyskane od organizacji, która została zaatakowana przez podmioty wykorzystujące tę lukę.

Barracuda Exploit Payload and Backdoor – ładunek wykorzystuje CVE-2023-2868, prowadząc do wgrania i wykonania backdoora typu reverse shell na urządzeniu ESG. Odwrotna powłoka nawiązuje komunikację z serwerem dowodzenia i kontroli (C2) podmiotu stanowiącego zagrożenie, skąd pobiera backdoora SEASPY na urządzenie ESG. Atakujący dostarczyli kod do ofiary za pośrednictwem wiadomości phishingowej ze złośliwym załącznikiem.
SEASPY – SEASPY to trwały i pasywny backdoor, który podszywa się pod legalną usługę Barracuda. SEASPY monitoruje ruch z serwera C2 aktora. Po przechwyceniu odpowiedniej sekwencji pakietów ustanawia powłokę zwrotną protokołu kontroli transmisji (TCP) do serwera C2. Powłoka ta umożliwia aktorom zagrożeń wykonywanie dowolnych poleceń na urządzeniu ESG.
SUBMARINE – SUBMARINE to nowy, trwały backdoor wykonywany z uprawnieniami roota, który działa w bazie danych Structured Query Language (SQL) na urządzeniu ESG. SUBMARINE składa się z wielu artefaktów – w tym wyzwalacza SQL, skryptów powłoki i załadowanej biblioteki dla demona Linuksa – które razem umożliwiają wykonanie z uprawnieniami roota, trwałość, polecenie i kontrolę oraz czyszczenie. CISA przeanalizowała również artefakty związane z SUBMARINE, które zawierały zawartość zainfekowanej bazy danych SQL. To złośliwe oprogramowanie stanowi poważne zagrożenie dla ruchu bocznego.
Więcej informacji na temat ładunku exploita, SEASPY i backdoora SUBMARINE, w tym wskaźniki naruszenia bezpieczeństwa i reguły wykrywania YARA, można znaleźć w następujących raportach z analizy złośliwego oprogramowania:

Źródło: CISA Releases Malware Analysis Reports on Barracuda Backdoors | CISA

CYBER HELP

Jeżeli chcesz wprowadzić odpowiedni poziom bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych lub podejrzewasz, że wystąpił w Twojej organizacji incydent, możesz się z nami skontaktować za pomocą niniejszego formularza kontaktowego lub telefonicznie.

Wszelkie informacje uzyskane mają charakter poufny.

ZGŁOŚ PROBLEM Z CYBERBEZPIECZEŃSTWEM