Barracuda zero-day abused since 2022 to drop new malware, steal data
Barracuda บริษัทด้านความปลอดภัยเครือข่ายและอีเมลเปิดเผยว่าช่องโหว่ Zero-day ที่เพิ่งแพตช์เมื่อเร็วๆนี้ ถูกใช้เป็นเวลาอย่างน้อย 7 เดือนกับอุปกรณ์ Email Security Gateway (ESG) ของลูกค้าแบบแบ็คดอร์ที่มีมัลแวร์แบบกำหนดเองและขโมยข้อมูล บริษัทกล่าวว่าการสืบสวนที่กำลังดำเนินอยู่พบว่าเป็นช่องโหว่ซึ่งถูกติดตามเป็น CVE-2023-2868 โดยถูกใช้ครั้งแรกในเดือนตุลาคม 2565 เพื่อเข้าถึงอุปกรณ์ ESG บางส่วนและติดตั้งแบ็คดอร์ที่ออกแบบมาเพื่อให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ที่ถูกบุกรุกได้อย่างต่อเนื่อง นอกจากนี้ Barracuda ยังค้นพบหลักฐานว่าผู้โจมตีขโมยข้อมูลจากอุปกรณ์ ESG อย่างลับๆ ช่องโหว่ดังกล่าวถูกระบุเมื่อวันที่ 19 พฤษภาคม 2566 หนึ่งวันหลังจากได้รับการแจ้งเตือนถึงทราฟฟิกที่น่าสงสัยจากอุปกรณ์ ESG และจ้างบริษัทรักษาความปลอดภัยทางไซเบอร์ Mandiant เพื่อช่วยในการตรวจสอบ
โดยบริษัทได้แก้ไขปัญหาไปเมื่อวันที่ 20 พฤษภาคม 2566 โดยการใช้แพตช์ความปลอดภัยกับอุปกรณ์ ESG ทั้งหมด และบล็อกการเข้าถึงของผู้โจมตีไปยังอุปกรณ์ที่ถูกบุกรุกในวันรุ่งขึ้นโดยปรับใช้สคริปต์เฉพาะ และเมื่อวันที่ 24 พฤษภาคม 2566 มีการเตือนลูกค้าว่าอุปกรณ์ ESG ของพวกเขาอาจถูกโจมตีโดยใช้ช่องโหว่ Zero-day ที่แก้ไขแล้วในขณะนี้ โดยแนะนำให้ตรวจสอบสภาพแวดล้อมของพวกเขา เพื่อให้แน่ใจว่าผู้โจมตีจะย้ายไปยังอุปกรณ์อื่นๆในเครือข่ายของพวกเขา หลังจากนั้นไม่นานทางด้าน CISA จึงเพิ่มช่องโหว่ CVE-2023-2868 ในรายการช่องโหว่ที่รู้จักในวันศุกร์ที่ผ่านมา ซึ่งน่าจะเป็นคำเตือนสำหรับหน่วยงานรัฐบาลกลางที่ใช้อุปกรณ์ ESG เพื่อตรวจสอบเครือข่ายของตนเพื่อหาสัญญาณของการบุกรุกที่เกิดจากการบุกรุก
นักวิจัยได้พบมัลแวร์หลายตัวที่ไม่รู้จักก่อนหน้านี้ในระหว่างการสืบสวน ซึ่งออกแบบมาเพื่อใช้กับผลิตภัณฑ์ Email Security Gateway ที่ถูกบุกรุกโดยเฉพาะ โดยตัวแรกมีชื่อว่า Saltwater เป็นโมดูล Barracuda SMTP daemon (bsmtpd) ที่เป็นโทรจันซึ่งช่วยให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ที่ติดไวรัสได้ทางลับๆ มัลแวร์ Saltwater มีความสามารถในการดำเนินการคำสั่งบนอุปกรณ์ที่ถูกบุกรุก ถ่ายโอนไฟล์ พร็อกซี และการรับส่งข้อมูลที่เป็นอันตรายของผู้โจมตีเพื่อช่วยหลบเลี่ยงการตรวจจับ มัลแวร์ตัวที่สองที่ถูกปรับใช้ระหว่างแคมเปญนี้มีชื่อว่า SeaSpy โดยมันมีความสามารถในการคงอยู่และสามารถเปิดใช้งานได้โดยใช้ magic packets ซึ่งมัลแวร์ SeaSpy จะช่วยตรวจสอบทราฟฟิกพอร์ต 25 (SMTP) และรหัสบางส่วนซ้อนกับแบ็คดอร์แฝง cd00r ที่ถูกเผยแพร่ต่อสาธารณะ นอกจานี้ยังพบว่าผู้โจมตียังใช้โมดูลที่เป็นอันตรายกับ bsmtpd ที่มีชื่อว่า SeaSide เพื่อสร้าง reverse shells ผ่านคำสั่ง SMTP HELO/EHLO ที่ส่งผ่านเซิร์ฟเวอร์ command-and-control (C2) ของมัลแวร์
https://www.bleepingcomputer.com/news/security/barracuda-zero-day-abused-since-2022-to-drop-new-malware-steal-data/