CISA opublikowała trzy raporty z analizy złośliwego oprogramowania dotyczące wariantów złośliwego oprogramowania powiązanych z wykorzystaniem CVE-2023-2868. CVE-2023-2868 to luka w zabezpieczeniach dotycząca zdalnego wstrzykiwania poleceń w urządzeniach Barracuda Email Security Gateway (ESG) Appliance w wersjach 5.1.3.001-9.2.0.006. Została ona wykorzystana jako dzień zerowy już w październiku 2022 r. w celu uzyskania dostępu do urządzeń ESG. Według doniesień branżowych, aktorzy wykorzystali tę lukę, aby uzyskać początkowy dostęp do systemów ofiar, a następnie wszczepili backdoory w celu ustanowienia i utrzymania trwałości.
CISA przeanalizowała warianty złośliwego oprogramowania typu backdoor uzyskane od organizacji, która została zaatakowana przez podmioty wykorzystujące tę lukę.
Barracuda Exploit Payload and Backdoor – ładunek wykorzystuje CVE-2023-2868, prowadząc do wgrania i wykonania backdoora typu reverse shell na urządzeniu ESG. Odwrotna powłoka nawiązuje komunikację z serwerem dowodzenia i kontroli (C2) podmiotu stanowiącego zagrożenie, skąd pobiera backdoora SEASPY na urządzenie ESG. Atakujący dostarczyli kod do ofiary za pośrednictwem wiadomości phishingowej ze złośliwym załącznikiem.
SEASPY – SEASPY to trwały i pasywny backdoor, który podszywa się pod legalną usługę Barracuda. SEASPY monitoruje ruch z serwera C2 aktora. Po przechwyceniu odpowiedniej sekwencji pakietów ustanawia powłokę zwrotną protokołu kontroli transmisji (TCP) do serwera C2. Powłoka ta umożliwia aktorom zagrożeń wykonywanie dowolnych poleceń na urządzeniu ESG.
SUBMARINE – SUBMARINE to nowy, trwały backdoor wykonywany z uprawnieniami roota, który działa w bazie danych Structured Query Language (SQL) na urządzeniu ESG. SUBMARINE składa się z wielu artefaktów – w tym wyzwalacza SQL, skryptów powłoki i załadowanej biblioteki dla demona Linuksa – które razem umożliwiają wykonanie z uprawnieniami roota, trwałość, polecenie i kontrolę oraz czyszczenie. CISA przeanalizowała również artefakty związane z SUBMARINE, które zawierały zawartość zainfekowanej bazy danych SQL. To złośliwe oprogramowanie stanowi poważne zagrożenie dla ruchu bocznego.
Więcej informacji na temat ładunku exploita, SEASPY i backdoora SUBMARINE, w tym wskaźniki naruszenia bezpieczeństwa i reguły wykrywania YARA, można znaleźć w następujących raportach z analizy złośliwego oprogramowania:
- Exploit Payload Backdoor MAR-10454006-r3.v1.CLEAR
- SEASPY Backdoor MAR-10454006-r2.v1.CLEAR
- SUBMARINE Backdoor MAR-10454006-r1.v2.CLEAR
Źródło: CISA Releases Malware Analysis Reports on Barracuda Backdoors | CISA