More

    CISA: Novi Whirlpool Backdoor korišten u Barracuda ESG kampanji

    Istraživači sigurnosti otkrili su treći novi backdoor koji je nedavno korišten u napadima na korisnike Barracuda ESG uređaja.

    Američka agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) objavila je novi savjet u kojem se detaljno opisuje zlonamjerni softver, nazvan “Whirlpool”.

    Tvrdilo se da je backdoor uspostavio TLS obrnuti shell na command-and-control serveru (C2).

    “Ovaj artefakt je 32-bitna ELF datoteka koja je identifikovana kao varijanta zlonamjernog softvera pod nazivom ‘Whirlpool'”, navodi se u dokumentu.

    “Zlonamjerni softver uzima dva argumenta (C2 IP i broj porta) iz modula da uspostavi Transport Layer Security (TLS) obrnuti shell. Modul koji prosljeđuje argumente nije bio dostupan za analizu.”

    Ovo dolazi nakon odvojenog ažuriranja CISA-e krajem jula u kojem je agencija otkrila da je u kampanji korišten i poseban backdoor, nazvan “Submarine”. Isti je opisan kao “novi uporni backdoor koji se izvršava s root privilegijama.”

    Prodavac sigurnosti Barracuda Networks donio je neobičnu odluku još u junu da svim korisnicima svog uređaja Email Security Gateway (ESG) ponudi zamjenski uređaj, nakon otkrića sofisticirane kampanje sajber špijunaže.

    Napadi su iskoristili zero-day ranjivost, praćenu kao  CVE-2023-2868, i trajali su od oktobra 2022. godine, tvrdi prodavac.  

    Mandiant je naknadno otkrio da je haker vjerovatno kineska APT grupa (UNC4841). Barracuda je otkrila napade 19. maja i dva dana kasnije zakrpila zero-day, ali je grupa promijenila zlonamjerni softver i implementirala nove mehanizme postojanosti kako bi održala pristup.

    Zatim je povećao učestalost svojih napada i ciljao žrtve u 16 zemalja u posljednja dva dana. Tada je Barracuda donijela odluku da pozove sve kupce da zamjene svoj uređaj.

    Grupa je također koristila zlonamjerni softver poznat kao Seaside, kao i ranije neotkrivene varijante Saltwater i Seaspy u napadima.

    Izvor: Infosecurity Magazine

    Recent Articles

    spot_img

    Related Stories