bencede
New member
Geçtiğimiz hafta Barracuda, E-posta Güvenlik Cihazlarında (ESG) zaten siber suçlular tarafından hedef alınan kritik bir güvenlik açığını yamaladı. Daha ayrıntılı araştırmalar, güvenlik açığına yönelik ilk saldırıların yedi ay önce geçen yılın Ekim ayında gerçekleştiğini ortaya çıkardı.
Şirket, ESG sıfır gün boşluk analizi sonuçlarını güncelledi. Satıcı, saldırganların ESG cihazlarına yetkisiz erişim elde etmek için CVE-2023-2868 güvenlik açığını kötüye kullandığını yazıyor. Adli tıp uzmanları, başarılı bir şekilde saldırıya uğrayan ESG cihazlarında kalıcı bir arka kapı görevi gören kötü amaçlı yazılım buldu.
Barracuda ESG: Birden fazla arka kapı kurulu
BT analistleri, Barracuda SMTP arka plan programı (bsmtpd) için trojenleştirilmiş bir modül olan “Saltwater” adını verdikleri birkaç kötü amaçlı yazılım dosyası buldular. Herhangi bir dosyayı yükleyebilir veya indirebilir, komutları yürütebilir ve proxy ve tünel işlevselliği sağlayabilir. Arka kapı sistem çağrılarına bağlı send, recv VE close demirli
“Seaspy” olarak adlandırılan arka kapı, meşru bir Barracuda Networks hizmeti kılığına giren ve kendisini bir PCAP filtresi olarak ekleyen bir x64 ELF ikili dosyasıdır. Özellikle SMTP bağlantı noktası 25’teki ağ trafiğini izler. Bir “sihirli paket” bulunduğunda arka kapı etkinleştirilir. Mandiant, kötü amaçlı yazılımı analiz ederken, kodun herkese açık cd00r arka kapısıyla çakıştığını keşfetti.
Son olarak, bazı virüslü cihazlarda Barracuda SMTP arka plan programı için Lua tabanlı bir modül olan “Seaside” bulundu. Komuta ve Kontrol sunucusu IP adresini ve bağlantı noktasını (C&C, C2) almak için HELP/EHLO SMTP komutlarını izleyin. Bunu, ters bir kabuk oluşturan harici bir ikili dosyaya aktarır.
Sıfır gün güvenlik açığı: veri sızıntısı
BT güvenlik araştırmacıları, bazı sızan ESG araçlarından veri sızıntısına dair kanıtlar da bulabildiler. Ancak Barracuda daha fazla ayrıntıdan bahsetmiyor.
Analiz aynı zamanda şimdiye kadar bulunan çeşitli kötü amaçlı yazılım dosyaları ve ağ adresleri için istila belirtileri (Uzlaşma Göstergeleri, IoC’ler) içerir. BT araştırmacıları, müşteri ağlarını incelemeye yardımcı olması amaçlanan YARA kurallarını da ekledi.
(dmk)
Haberin Sonu
Şirket, ESG sıfır gün boşluk analizi sonuçlarını güncelledi. Satıcı, saldırganların ESG cihazlarına yetkisiz erişim elde etmek için CVE-2023-2868 güvenlik açığını kötüye kullandığını yazıyor. Adli tıp uzmanları, başarılı bir şekilde saldırıya uğrayan ESG cihazlarında kalıcı bir arka kapı görevi gören kötü amaçlı yazılım buldu.
Barracuda ESG: Birden fazla arka kapı kurulu
BT analistleri, Barracuda SMTP arka plan programı (bsmtpd) için trojenleştirilmiş bir modül olan “Saltwater” adını verdikleri birkaç kötü amaçlı yazılım dosyası buldular. Herhangi bir dosyayı yükleyebilir veya indirebilir, komutları yürütebilir ve proxy ve tünel işlevselliği sağlayabilir. Arka kapı sistem çağrılarına bağlı send, recv VE close demirli
“Seaspy” olarak adlandırılan arka kapı, meşru bir Barracuda Networks hizmeti kılığına giren ve kendisini bir PCAP filtresi olarak ekleyen bir x64 ELF ikili dosyasıdır. Özellikle SMTP bağlantı noktası 25’teki ağ trafiğini izler. Bir “sihirli paket” bulunduğunda arka kapı etkinleştirilir. Mandiant, kötü amaçlı yazılımı analiz ederken, kodun herkese açık cd00r arka kapısıyla çakıştığını keşfetti.
Son olarak, bazı virüslü cihazlarda Barracuda SMTP arka plan programı için Lua tabanlı bir modül olan “Seaside” bulundu. Komuta ve Kontrol sunucusu IP adresini ve bağlantı noktasını (C&C, C2) almak için HELP/EHLO SMTP komutlarını izleyin. Bunu, ters bir kabuk oluşturan harici bir ikili dosyaya aktarır.
Sıfır gün güvenlik açığı: veri sızıntısı
BT güvenlik araştırmacıları, bazı sızan ESG araçlarından veri sızıntısına dair kanıtlar da bulabildiler. Ancak Barracuda daha fazla ayrıntıdan bahsetmiyor.
Analiz aynı zamanda şimdiye kadar bulunan çeşitli kötü amaçlı yazılım dosyaları ve ağ adresleri için istila belirtileri (Uzlaşma Göstergeleri, IoC’ler) içerir. BT araştırmacıları, müşteri ağlarını incelemeye yardımcı olması amaçlanan YARA kurallarını da ekledi.
(dmk)
Haberin Sonu