แจ้งเตือนกรณี CISA เผยแพร่รายงานการวิเคราะห์มัลแวร์บน Barracuda Backdoors
-
แจ้งเตือนกรณี CISA CISA เผยแพร่รายงานการวิเคราะห์มัลแวร์บน Barracuda Backdoors
เมื่อวันที่ 28 กรกฎาคม 2566 Cybersecurity and Infrastructure Security Agency (CISA) ได้เผยแพร่รายงานการวิเคราะห์มัลแวร์ 3 ฉบับ[1]เกี่ยวกับรูปแบบต่างๆ ของมัลแวร์ที่เกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่หมายเลข CVE-2023-2868 CVE-2023-2868 เป็นช่องโหว่การแทรกคำสั่งจากระยะไกลที่ส่งผลกระทบต่อ Barracuda Email Security Gateway (ESG) Appliance เวอร์ชัน 5.1.3.001 - 9.2.0.006 ถูกใช้ประโยชน์แบบzero day[2] ตั้งแต่เดือนตุลาคม 2022 เพื่อเข้าถึงอุปกรณ์ ESG ตามการรายงานของอุตสาหกรรม[3] ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เข้าถึงระบบของเป้าหมายได้ และฝัง backdoors
CISA ได้วิเคราะห์รูปแบบต่างๆ ของมัลแวร์ที่ได้รับจากองค์กรที่ถูกโจมตี โดยผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่นี้- Barracuda Exploit Payload และ Backdoor – Payload ใช้ประโยชน์จาก CVE-2023-2868 การดำเนินการของ backdoor เชลล์ย้อนกลับบนอุปกรณ์ ESG รีเวิร์สเชลล์สร้างการสื่อสารกับเซิร์ฟเวอร์คำสั่งและควบคุมของผู้คุกคาม (C2) จากจุดที่ดาวน์โหลดแบ็คดอร์ SEASPY ไปยังอุปกรณ์ ESG ผู้โจมตีส่งเพย์โหลดไปยังเป้าหมายผ่านทางอีเมลฟิชชิ่งพร้อมไฟล์แนบที่เป็นอันตราย
- SEASPY – SEASPY เป็นแบ็คดอร์ถาวรและไม่โต้ตอบที่ปลอมตัวเป็นบริการ Barracuda ที่ถูกต้องตามกฎหมาย SEASPY ตรวจสอบการรับส่งข้อมูลจากเซิร์ฟเวอร์ C2 ของผู้โจมตี เมื่อจับลำดับแพ็กเก็ตที่ถูกต้อง มันจะสร้างรีเวิร์สเชลล์ Transmission Control Protocol (TCP) ไปยังเซิร์ฟเวอร์ C2 เชลล์อนุญาตให้ผู้โจมตีดำเนินการคำสั่งบนอุปกรณ์ ESG ได้ง่าย
- SUBMARINE – SUBMARINE เป็นแบ็คดอร์ถาวรแบบใหม่ที่ดำเนินการด้วยสิทธิ์รูทที่อยู่ในฐานข้อมูล Structured Query Language (SQL) บนอุปกรณ์ ESG SUBMARINE ประกอบด้วยอาร์ติแฟกต์หลายรายการ—รวมถึงทริกเกอร์ SQL, เชลล์สคริปต์ และไลบรารีที่โหลดสำหรับ Linux daemon— ที่ร่วมกันทำให้สามารถดำเนินการด้วยสิทธิ์ระดับรูท การคงอยู่ คำสั่งและการควบคุม และการล้างข้อมูล CISA ยังวิเคราะห์สิ่งประดิษฐ์ที่เกี่ยวข้องกับ SUBMARINE ซึ่งมีเนื้อหาของฐานข้อมูล SQL ที่ถูกบุกรุก มัลแวร์นี้เป็นภัยคุกคามร้ายแรงต่อการเคลื่อนไหวด้านข้าง
ทั้งนี้ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับ CVE-2023-2868 ที่ช่องโหว่ Barracuda Email Security Gateway Appliance (ESG) ของ Barracuda[4] และบล็อกโพสต์ของ Mandiant Barracuda ESG Zero-Day Vulnerability (CVE-2023-2868) Exploited Globally by Aggressive and Skilled Actor[5] หรือที่ https://www.cisa.gov/news-events/alerts/2023/07/28/cisa-releases-malware-analysis-reports-barracuda-backdoors
อ้างอิง
1.https://www.cisa.gov/news-events/alerts/2023/07/28/cisa-releases-malware-analysis-reports-barracuda-backdoors
2.https://www.barracuda.com/company/legal/esg-vulnerability
3.https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally
4.https://www.barracuda.com/company/legal/esg-vulnerability
5.https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globallyสามารถติดตามข่าวสารได้ที่ WEBBOARD หรือ FACEBOOK NCSA THAILAND