ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), bu hafta, Barracuda’nın E-posta Güvenlik Ağ Geçidi (ESG) aygıtlarındaki bir komut yerleştirme güvenlik açığını hedef alan son gelişmiş kalıcı tehdit (APT) saldırılarıyla ilgili bir başka uyarı daha yayınladı.
Uyarı, saldırıların arkasındaki grubun – Çin merkezli UNC4841 – en azından geçen Ekim ayına kadar uzanan agresif bir siber casusluk kampanyasında konuşlandırdığı “Whirlpool” adlı bir arka kapıyla ilgili. Şimdiye kadar, kampanya 16 kadar ülkede çok sayıda sektördeki özel ve kamu sektörü kuruluşlarını etkiledi.
Barracuda, saldırıları ilk olarak Mayıs ayında, ESG cihazlarıyla ilgili olağan dışı faaliyet raporları aldıktan sonra bildirdi. Şirketin araştırması, UNC4841’in Barracuda ESG cihazlarının 5.1.3.011 ila 9.2.0.006 sürümlerinde sıfır günlük bir güvenlik açığını hedeflediğini gösterdi. Tehdit aktörü, az sayıda hedeflenen Barracuda müşterisine ait sistemlere ilk erişim elde etmek için esasen – CVE-2023-2868 olarak izlenen – güvenlik açığını kullanıyordu.
Barracuda güvenlik açığı için hızla bir yama yayınladı. Ancak Haziran ayının başlarında şirket, UNC4841 aktörlerinin güvenliği ihlal edilmiş sistemlerde uzun vadeli varlıklarını sürdürmek için çeşitli önlemler aldıklarını gözlemledikten sonra, etkilenen müşterileri virüs bulaşmış sistemlere yama yapmak yerine acilen değiştirmeleri için teşvik etmeye başladı.
Bu sırada saldırılar tüm hızıyla devam eder.
Girdap Arka Kapısı
CISA, Whirlpool’u saldırganın komuta ve kontrol (C2) sunucusuna bir Aktarım Katmanı Güvenliği (TLS) ters kabuğu oluşturan bir arka kapı olarak tanımladı. Bu ters kabuklardaki kötü amaçlı trafiğin algılanması zor olabilir çünkü trafik şifrelidir ve genellikle normal HTTPS trafiğiyle karışır.
Google’ın Mandiant güvenlik grubu, Barracuda’nın şirketten devam eden ESG saldırılarını araştırmasını istemesinin ardından, Whirlpool hakkında ilk olarak Haziran ayındaki bir blog gönderisinde rapor verdi.
Arka kapı, UNC4841’in kampanyasında kullandığı birkaç kapıdan biridir. Mandiant’ın ilk raporu, şirketin Barracuda saldırılarını araştırırken keşfettiği üç tanesini listeliyordu: “Deniz spreyi”, “Deniz kenarı” ve “Tuzlu su.” Seaspray, tehdit grubunun kampanya için birincil arka kapısıdır, Saltwater, Barracuda’nın SMTP arka plan programı için arka kapı işlevi içeren bir modüldür ve Seaside, Barracuda SMTP arka plan programı için Lua tabanlı bir modüldür.
Mandiant’ın kıdemli olay müdahale danışmanı Austin Larsen, şirketinin saldırılara ilişkin analizinin UNC4841 aktörlerinin Seaspray ve Seaside ile birlikte Whirlpool kullandığını gösterdiğini söyledi. Larsen, “Whirlpool, C tabanlı bir yardımcı programdır” diyor. “[It] ya belirli bir dosya yolu olan tek bir CLI bağımsız değişkeni ya da belirli bir IP ve bağlantı noktası olan iki bağımsız değişken kullanır.”
Larsen, UNC4841’in kampanyasında şimdiye kadar kullandığı diğer arka kapıların aksine, Whirlpool’un pasif bir arka kapı olmadığını söylüyor. Tehdit aktörü bunun yerine cephaneliğindeki Seaspray gibi diğer kötü amaçlı yazılım aileleri için ters kabuk yetenekleri sağlamak için kullandığını belirtiyor.
CISA ayrıca Ağustos ayının başlarında, hedeflenen bir kurban alt kümesi için Barracuda ESG cihazlarındaki bir SQL veritabanında özellikle kök ayrıcalıkları elde eden “Denizaltı” arka kapısının kullanımını işaret etti. CISA, kötü amaçlı yazılımın güvenliği ihlal edilmiş ağlarda kalıcılık, komuta ve kontrol, temizleme ve yanal hareket sağladığı konusunda uyardı. CISA’nın arka kapıyı analiz etmesine yardımcı olan Mandiant, bunu UNC4841’in Barracuda’nın CVE-2023-2868 için bir yama yayınlamasının ardından güvenliği ihlal edilmiş sistemlerde kalıcı erişimi sürdürme girişimlerinin bir tezahürü olarak tanımladı.