رصد بدافزار در دروازه‌های ایمیل باراکودا

به گزارش کارگروه امنیت خبرگزاری سایبربان، نیاز به جایگزینی درگاه‌های ایمیل باراکودا (Barracuda) فوریت جدیدی پیدا کرده است، زیرا آژانس امنیت سایبری و امنیت زیرساخت آمریکا هشدار داده است که سه نوع بدافزار نصب شده در دستگاه‌های آسیب‌پذیر را شناسایی کرده است.

در اوایل سال جاری، باراکودا توصیه کرد که یک اشکال اجرای کد از راه دور (CVE-2023-2868) در برخی از دروازه‌های امنیتی ایمیل خود، نیاز به تعویض دستگاه‌های آسیب‌دیده دارد.

برخی از واحدها به وضوح مشغول خدمت رسانی هستند و آژانس امنیت سایبری و امنیت زیرساخت هشدار داده است که سه نوع بدافزار را که در دستگاه‌های باراکودا مشاهده کرده است، شناسایی کرده است.

اولین مورد، محموله ای است که مهاجمان برای انداختن و اجرای یک پوسته معکوس روی دستگاه ای اس جی (ESG) استفاده می کنند.

این محموله برای دانلود دومین درب پشتی به نام سی اسپای (SEASPY) از سرور فرمان و کنترل (C2) استفاده می شود.

آژانس امنیت سایبری و امنیت زیرساخت، سی اسپای را به عنوان یک درب پشتی منفعل و مداوم توصیف می کند که به عنوان یک سرویس قانونی باراکودا، ترافیک را از سرور فرمان و کنترل زیر نظر دارد.

هنگامی که سرور یک توالی بسته خاص را ارسال می کند، سی اسپای یک پوسته معکوس تی سی پی (TCP) را به سرور فرمان و کنترل ایجاد می کند و به عوامل تهدید توانایی اجرای دستورات دلخواه را بر روی دستگاه می دهد.

آژانس امنیت سایبری و امنیت زیرساخت آمریکا نوع سوم بدافزار، یعنی سابمارین (SUBMARINE) را به‌عنوان یک درب پشتی دائمی جدید توصیف می کند که در پایگاه داده اس کیو ال (SQL) روی دستگاه نصب شده و با امتیازات روت اجرا می شود.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده می گوید:

ساب مارین شامل چندین آرتیفکت از جمله یک تریگر اس کیو ال، اسکریپت‌های پوسته و یک کتابخانه بارگذاری‌شده برای دیمون لینوکس است که با هم امکان اجرا با امتیازات ریشه، تداوم، فرمان و کنترل و پاکسازی را فراهم می‌کنند.

این بدافزار یک تهدید جدی برای حرکت جانبی است.

این توصیه شامل شاخص‌های سازش و قوانین تشخیص یارا (YARA) برای هر سه نوع بدافزار است.