A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu esta semana mais um alerta relacionado aos recentes ataques de ameaça persistente avançada (APT) visando uma vulnerabilidade de injeção de comando nos dispositivos Email Security Gateway (ESG) da Barracuda.
O alerta refere-se a um backdoor apelidado de “Whirlpool” que o grupo por trás dos ataques – UNC4841 com sede na China – está implantando em uma campanha agressiva de espionagem cibernética que remonta pelo menos a outubro passado. Até agora, a campanha afetou organizações dos setores público e privado em vários setores em até 16 países.
A Barracuda informou pela primeira vez sobre os ataques em maio, depois de receber relatórios de atividades incomuns relacionadas a seus aparelhos ESG. A investigação da empresa mostrou UNC4841 visando uma vulnerabilidade de dia zero nas versões 5.1.3.011 a 9.2.0.006 dos dispositivos Barracuda ESG. O agente da ameaça estava essencialmente usando a vulnerabilidade – rastreada como CVE-2023-2868 – para obter acesso inicial a sistemas pertencentes a um pequeno número de clientes-alvo da Barracuda.
Barracuda lançou rapidamente um patch para a vulnerabilidade. Mas, no início de junho, a empresa começou a pedir aos clientes afetados que substituíssem com urgência os sistemas infectados , em vez de corrigi-los, depois de observar que os agentes do UNC4841 tomavam várias medidas para manter uma presença de longo prazo nos sistemas comprometidos.
Enquanto isso, os ataques continuam.
A Porta dos Fundos do Whirlpool
A CISA identificou o Whirlpool como um backdoor que estabelece um shell reverso TLS (Transport Layer Security) para o servidor de comando e controle (C2) do invasor. O tráfego malicioso nesses shells reversos pode ser difícil de detectar porque o tráfego é criptografado e geralmente se mistura ao tráfego HTTPS normal.
O grupo de segurança Mandiant do Google relatou pela primeira vez sobre a Whirlpool em uma postagem de blog em junho, depois que Barracuda pediu à empresa que investigasse os ataques ESG em andamento.
O backdoor é um dos vários que UNC4841 tem usado em sua campanha. O relatório inicial da Mandiant listou três que a empresa descobriu ao investigar os ataques de Barracuda: “Seaspray”, “Seaside” e “Saltwater”. O Seaspray é o principal backdoor do grupo de ameaças para a campanha, o Saltwater é um módulo para o daemon SMTP do Barracuda que contém a funcionalidade do backdoor e o Seaside é um módulo baseado em Lua para o daemon SMTP do Barracuda.
Austin Larsen, consultor sênior de resposta a incidentes da Mandiant, diz que a análise de sua empresa sobre os ataques mostrou que os agentes do UNC4841 estão usando a Whirlpool juntamente com a Seaspray e a Seaside. “Whirlpool é um utilitário baseado em C”, diz Larsen. “[Ele] usa um único argumento CLI que é um determinado caminho de arquivo ou dois argumentos que são um determinado IP e porta.”
Ao contrário dos outros backdoors que o UNC4841 usou até agora em sua campanha, a Whirlpool não é um backdoor passivo, diz Larsen. O agente da ameaça está usando-o para fornecer recursos de shell reverso para outras famílias de malware em seu arsenal, como o Seaspray, observa ele.
A CISA também sinalizou no início de agosto o uso do backdoor “Submarine” , que especificamente obtém privilégios de root em um banco de dados SQL em dispositivos Barracuda ESG para um subconjunto direcionado de vítimas. O malware permite persistência, comando e controle, limpeza e movimento lateral em redes comprometidas, alertou a CISA. A Mandiant, que ajudou a CISA a analisar o backdoor, o descreveu como uma manifestação das tentativas do UNC4841 de manter o acesso persistente em sistemas comprometidos depois que o Barracuda emitiu um patch para CVE-2023-2868.
FONTE: DARKREADING