Whirlpool злонамерен софтуер

Агенцията за киберсигурност и сигурност на инфраструктурата на Съединените щати (CISA) идентифицира атаки с усъвършенствана постоянна заплаха (APT), насочени към неразкрита преди това уязвимост от нулев ден в устройствата Barracuda Email Security Gateway (ESG).

Въпросната уязвимост, както е посочено в предупреждение на CISA, е била използвана за въвеждане на злонамерен софтуер за задната врата на Seapsy и Whirlpool на компрометираните устройства. CISA съобщи, че са успели да получат четири проби от внедрените заплахи за зловреден софтуер, които включват задни врати Seapsy и Whirlpool. Компрометирането на устройството стана чрез заплахи, които се възползваха от пропуските в сигурността на Barracuda ESG. Тази уязвимост, проследявана като CVE-2023-2868, позволява дистанционно изпълнение на команди на ESG устройства, работещи с версии 5.1.3.001 до 9.2.0.006.

Злонамереният софтуер Whirlpool установява задна вратичка към пробитите системи

Seapsy е добре познат и траен виновник в областта на престъпленията на Barracuda. Той умело се прикрива като истинска услуга на Barracuda под името „BarracudaMailService“, позволявайки на участниците в заплахата да изпълняват произволни команди на ESG устройството. За разлика от това, Whirlpool представлява нова офанзивна задна вратичка, използвана от нападатели за установяване на защитена връзка под формата на обратна обвивка на транспортния слой за сигурност (TLS) обратно към сървъра за командване и управление (C2).

По-специално, Whirlpool беше идентифициран като 32-битов изпълним и свързваем формат (ELF). Той работи, като получава два критични аргумента - C2 IP адрес и номер на порт - от конкретен модул. Тези параметри са от съществено значение при инициирането на установяването на гореспоменатата обратна обвивка за защита на транспортния слой (TLS).

За да разгледаме по-нататък, методът за обратна обвивка на TLS служи като техника, използвана при кибератаки, функционираща за установяване на защитен и криптиран комуникационен канал между компрометирана система и сървър под контрола на нападателите. За съжаление, модулът, който предоставя основните аргументи за този процес, не беше достъпен за анализ от CISA.

В допълнение към Seapsy и Whirlpool бяха открити шепа други щамове на задни вратички, експлоатирани в уязвимости на Barracuda ESG, включително Saltwater, Submarine и Seaside.

CVE-2023-2868 се превърна в сериозен проблем за Barracuda

Уязвимостта, засягаща ESG, се превърна в тревожно изпитание за Barracuda, като бързо се сблъска с нарастване на експлойтите след откриването на уязвимостта от нулевия ден през октомври 2022 г. През май на текущата година компанията официално призна съществуването на уязвимостта и незабавно пуснати пачове за справяне с проблема.

Въпреки това, само няколко дни по-късно, Barracuda издаде предупредително изявление към своите клиенти, като ги посъветва да заменят потенциално уязвимите уреди, по-специално онези операционни версии от 5.1.3.001 до 9.2.0.006, дори ако корекциите са били приложени. Дори месеци по-късно доказателствата от CISA показват, че продължаващите експлойти продължават, оставяйки въпроси относно стратегията на Barracuda за ефективно разрешаване на проблема.