Киберпреступники используют уязвимость в Barracuda Email Security Gateway для установки бэкдоров через фишинговые письма

Эксперты CISA получили 14 образцов вредоносного ПО, которое использовалось для эксплуатации уязвимости. Вредоносные нагрузки представляют собой exploit-пакеты и reverse-shell-бэкдоры, позволяющие злоумышленникам получать удаленный контроль над атакованными устройствами. Уязвимость затрагивает версии Barracuda ESG от 5.1.3.001 до 9.2.0.006, и, несмотря на выпуск патча, многие организации могут оставаться уязвимыми из-за несвоевременного обновления.

Как работает атака

Злоумышленники доставляют вредоносный код через фишинговые письма с вложением в формате .tar. После открытия архива на устройстве жертвы запускается команда, эксплуатирующая CVE-2023-2868. Это приводит к инъекции произвольных команд, в результате чего на сервере ESG устанавливается reverse-shell. Данный тип бэкдора позволяет киберпреступникам устанавливать постоянное соединение с командным сервером (C2), используя зашифрованный канал связи на базе OpenSSL.

Вредоносный код не только дает злоумышленникам полный контроль над зараженной системой, но и позволяет скрытно перемещаться внутри корпоративной сети, собирая конфиденциальные данные и подготавливая почву для более масштабных атак, таких как утечки информации или ransomware-атаки.

Почему это опасно

Barracuda ESG - это популярное решение для защиты корпоративной почты от спама, фишинга и других угроз. Уязвимость в таком продукте особенно критична, поскольку ESG стоит на границе между внешней и внутренней сетью, что делает его идеальной мишенью для атак. Если злоумышленники получат контроль над этим устройством, они смогут перехватывать электронную корреспонденцию, подменять письма и проводить дальнейшие атаки на сотрудников компании.

Еще одна проблема заключается в том, что reverse-shell работает через зашифрованное соединение, что затрудняет его обнаружение сетевыми системами защиты. Многие межсетевые экраны и IDS/IPS-решения могут пропускать такой трафик, особенно если злоумышленники используют доверенные сертификаты или маскируются под легитимные сервисы.

Рекомендации по защите

Компании, использующие Barracuda ESG, должны немедленно проверить свои системы на наличие обновлений и установить последние патчи, выпущенные производителем. Помимо этого, необходимо усилить мониторинг сетевой активности на предмет подозрительных исходящих соединений, особенно на нестандартных портах.

Также важно обучать сотрудников основам кибербезопасности, поскольку фишинг остается основным вектором атак. Даже самые совершенные системы защиты могут быть обойдены, если пользователь по ошибке откроет вредоносное вложение или перейдет по опасной ссылке.

CISA напоминает, что информация в отчете предоставляется "как есть" и не содержит гарантий, однако игнорировать подобные угрозы нельзя. Организации должны учитывать риски и принимать превентивные меры, чтобы минимизировать последствия возможных инцидентов.

Заключение

Атаки через уязвимости в защитных решениях - тревожный тренд, который демонстрирует, что даже продукты, созданные для обеспечения безопасности, могут стать слабым звеном. Эксплуатация CVE-2023-2868 подтверждает, что киберпреступники активно исследуют корпоративные периметры в поисках уязвимых мест. Компаниям необходимо не только своевременно обновлять ПО, но и внедрять многоуровневую защиту, включая сегментацию сети, анализ поведения пользователей и регулярный аудит безопасности. В противном случае риск серьезных инцидентов, включая утечки данных и финансовые потери, будет только расти.

IPv4

• 107.148.219.54
• 107.148.223.196

IPv4 Port Combinations

• 107.148.223.196:443
• 107.148.223.196:8080

MD5

• 1424d7cf2515f97e21bbd9c94d187dab
• 212031b3a6e958fb7b545862407e5f7a
• 33d16ab60d262191f4a251e31a5d1940
• 3e01f48ab1bfae888b2c580dbc6c5962
• 42722b7d04f58dcb8bd80fe41c7ea09e
• 5bbdcca59916d40c178fd29a743fc9eb
• 74b2cb4099ffb3a6eb2ada984f08a55c
• 84603aa2f1d30f6b137a6b9300f2adcc
• ac4fb6d0bfc871be6f68bfa647fc0125
• bd238e645c350329b0a42264dc6fdea7
• c479667bd581845d1e295becc1d4859f
• db1215b51c86aa12564dd5b825e81e43
• e7f1555f9f9e9bca1898c720b2ef0866
• fe1e2d676c91f899b706682b70176983

SHA1

• 15e3a9a643ebc5fc8e240b2617ce9720e4c16aa2
• 1903a3553bcb291579206b39e7818c77e2c07054
• 3a3d73662809b957c94407e7938c90a41e9b6023
• 4bd4f014ceeffbe2b1e61f5d279416a80ec9eafe
• 59ac617c7f6d779d0853921afbaf36574846ab9f
• 693247647b55476a383579f07e7e1eb16fc86b70
• 6f7d8d31d1d0c53d71495176aa4ab23756bbba24
• 77b1864c489affe0ac2284135050373951b7987e
• a3b9b846467973038b1232f2c2189c02023b1dd8
• a982111f1463e90a46a62da4fb8e47bbf4db025e
• ab9942e172733ec3265dd93e0033e2ace77905c1
• dc5841d8ed9ab8a5f3496f2258eafb1e0cedf4d3
• f61238d4bbe1927e827ffd03457c1d60b1ce6350
• f7df6eb42ce9979babbd9fb1373bbf260dcfe4e5

SHA256

• 0b917d945a7491869fa5003f6b85c09f5f45795a7852a8b63ba1abdc9797d6a6
• 2a5de691243f2b91f164c3021c157fbd783b4f3e7d5f5950182e52ec868cd40b
• 2a860849a9e68df0053556b85f20010a1384b4c87594ba4f9bb3e1b1d287b095
• 2b2b7c5e825b7a18e13319b4a1275a0dd0086abd58b2d45939269d5a613a41e7
• 3f2ca19ad3635f379968b0302c7e42cf954f85ab61166c6f70acfebc72f38ab7
• 80342108e9f0f1fd6b5c44e88006cebe37e4eccb3a0f567636b22ad210c0a043
• 949d4b01f31256e5e9c2b04e557dcca0a25fc2f6aa3618936befc7525e1df788
• 9d0c7a45dd00d31a9724fa9e96cb8ac99dd5a6502fe4515cedaabb2e58b1c5f5
• b5113e29ec23f6e1be289b99dc7ac2af1c252b4b6ff6e977f7827ab7fd686321
• b52a9844d8368abe70b6ba0d8df84f88c8c0029dcbcf599665acd703b255d5d2
• caa795c4c934219d287379b20c2912af0f815de95bb73e0f02f5fe6eb9aa50bd
• cf0996a3aee148bc060f4726435dd0d7f1af79082277f407dfa07d81181322ba
• f289b565839794fe4f450ed0c9343b8fb699f97544d9af2a60851abc8b4656e0
• f536a7b75b7205762b75a037ebf6503029aab1a02afab14b2709797c32e7e0fa

SHA512

• 0ebf9a75b7bcae7b7e28bef4d8e81e53829678104b09220e684e54df211130fafaa3387f057cbe8fdf24a0138e1ac9f5f24d83f467c4e0469c7dff009e8381d5
• 17a07d6d3164159ace01099bdee560bd63f980d083b6a1650880b50bcfe63b9eda8b1ba7932c7527457d368005d61745a21fa4252a9e2b81ea3a9a34e4d33ea0
• 1c22a05e50aa3d954c2d5a1629e192a915c9d576cd1d7cd9ac3a3bbb35d934f6fc1768d996653a0bca2950185c2a9cec3d1675ca29a19b69da26100990eaa0d8
• 4b0be07290895cfae3e29d7675c83ee48e0f3eedab6be55db5d426799cbc25905eecfba92664bf3137c610cfca74826e2c2ec813ca6ff7c23c5584258219b478
• 4b4e7f5ef6fa006a3758649f2e664ca93198c3f82956c96975cafd815148b34eae7e7b6a3a2b9b632fe2f807713c536b77c7054ddd71a2851ed92ec7b4d26af0
• 834fbf3c821a27588d6c7b46c56296505bdb9e34880e7c3c234c7fa3f9ee46c115d632d413f13278b9de792b5bd8e87ab561ad50bd8a25d43dbafa9b22b8bc30
• 86f28510b50f1f0640065b2f5f6049d879c99c659b80dc4604942e2df8f7ff143f70acce05491f95e8eeff0718c69011c1c92d2611f3b86a5419c6dea1b802e0
• 88453bf84dfcbf7b162a414e06d2c1038924844aebf6cac847130ccb1aa32debaaebee13ce58ffa2277e1aeadc101b8a7f4ac53b2caa7405467846c783be5f9a
• 96499176dc81f64f3ab0daf7319bd1dc54301ccaada75d37a8377584f6044774e103361f207f6f204e62f251ae41e639f923c25cf2feee5b2557d10908bb54c5
• d5b930f4a13243ffd5ab43a50de5ba01154ee5054c4cea6830f583d761cd22828efd62e8cf35d5892649587b8982d3c8e7f4440a34ccc9b40761355a69372a06
• ea5b2437c99c766050fddc2cad00b3d863ceae41d7d0be2b67ded74b146800de2ef7261d003d1bb341a8cff4ddd789f2c615daa423d9ab2a7f04b3a1d353d2eb
• fc298c3cee79f2d965d8464746dea4259209bd5f7bb4ee2825e92ca1fad2b65c9b02d93406da8de1c7f2e3e0a08b2a430f95b0b55e009f2ff71e0f4fa6305f52
• feab76baea3e0701dd025b140cde25c1b7516ca9bca49ee8e3728b5d787e8a25ef456b094594f9fc30b89c64b776ab5120617ee4f2012d74f6327dff09f0c14f
• febc0f0bee4b8a4209a7768cf2285550b571506f9d56ffbdf5a262f81d4e28df38e8e78691f05ee408ef464715e213602860332e638d28e0976e56a8fc587662