ワールプールマルウェア

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は、Barracuda Email Security Gateway (ESG) アプライアンスのこれまで未公開のゼロデイ脆弱性を標的とした Advanced Persistent Threat (APT) 攻撃を特定しました。

CISA アラートで概要が説明されているように、問題の脆弱性は、Seapsy および Whirlpool バックドア マルウェア ペイロードを侵害されたデバイスに導入するために悪用されました。 CISA は、Seapsy および Whirlpool バックドアを含む、展開されたマルウェア脅威の 4 つのサンプルを入手することに成功したと報告しました。デバイスの侵害は、Barracuda ESG のセキュリティ ギャップを利用した攻撃者によって起こりました。 CVE-2023-2868 として追跡されているこの脆弱性により、バージョン 5.1.3.001 ～ 9.2.0.006 が動作する ESG アプライアンスでリモート コマンドの実行が可能になります。

Whirlpool マルウェアは侵害されたシステムへのバックドア接続を確立します

Seapsy は、バラクーダ犯罪の分野ではよく知られた永続的な犯人です。 「BarracudaMailService」という名前で本物の Barracuda サービスのように巧みに偽装し、攻撃者が ESG アプライアンス上で任意のコマンドを実行できるようにします。対照的に、Whirlpool は、コマンド アンド コントロール (C2) サーバーへのトランスポート層セキュリティ (TLS) リバース シェルの形式で安全な接続を確立するために攻撃者によって利用される新しい攻撃的なバックドアを表します。

特に、Whirlpool は 32 ビットの実行可能およびリンク可能フォーマット (ELF) として識別されました。これは、特定のモジュールから 2 つの重要な引数 (C2 IP アドレスとポート番号) を受け取ることによって動作します。これらのパラメータは、前述のトランスポート層セキュリティ (TLS) リバース シェルの確立を開始する際に不可欠です。

さらに詳しく説明すると、TLS リバース シェル手法はサイバー攻撃で使用される手法として機能し、侵害されたシステムと攻撃者の制御下にあるサーバーとの間に安全で暗号化された通信路を確立するために機能します。残念ながら、このプロセスに重要な議論を提供するモジュールは CISA による分析には利用できませんでした。

Seapsy と Whirlpool に加えて、Saltwater、Submarine、Seaside など、バラクーダ ESG の脆弱性を悪用するバックドア株がいくつか発見されました。

CVE-2023-2868 はバラクーダにとって重大な問題となった

ESG に影響を与えるこの脆弱性は、バラクーダにとって憂慮すべき試練に発展しており、2022 年 10 月にゼロデイ脆弱性が発見されてから急速にエクスプロイトの急増に遭遇しました。今年 5 月に、同社は脆弱性の存在を正式に認め、この問題に対処するパッチをすぐにリリースしました。

しかし、そのわずか数日後、バラクーダは顧客に対して警告声明を発表し、パッチが適用されていたとしても、潜在的に脆弱なアプライアンス、特にバージョン 5.1.3.001 ～ 9.2.0.006 を稼働しているアプライアンスを交換するようアドバイスしました。数カ月経った今でも、CISAの証拠は進行中の悪用が続いていることを示唆しており、問題を効果的に解決するためのバラクーダの戦略には疑問が残っている。