Whirlpool malware

Americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) identifikovala útoky APT (Advanced Persistent Threat) zaměřené na dříve nezveřejněnou zero-day zranitelnost zařízení Barracuda Email Security Gateway (ESG).

Dotyčná zranitelnost, jak je uvedeno v upozornění CISA, byla zneužita k zavedení backdoor malwaru Seapsy a Whirlpool na napadená zařízení. CISA oznámila, že se jim podařilo získat čtyři vzorky nasazených malwarových hrozeb, mezi které patří zadní vrátka Seapsy a Whirlpool. Kompromis zařízení se projevil prostřednictvím aktérů hrozeb, kteří těžili z bezpečnostní mezery v Barracuda ESG. Tato chyba zabezpečení, sledovaná jako CVE-2023-2868, umožňuje vzdálené provádění příkazů na zařízeních ESG s operačními verzemi 5.1.3.001 až 9.2.0.006.

Whirlpool malware vytváří zadní vrátka připojení k narušeným systémům

Seapsy je dobře známý a trvalý viník v říši barracudských trestných činů. Dokonale se maskuje jako skutečná služba Barracuda pod názvem „BarracudaMailService“, která umožňuje aktérům hrozeb provádět libovolné příkazy na zařízení ESG. Naproti tomu Whirlpool představuje nová útočná zadní vrátka, kterou útočníci využívají k navázání zabezpečeného spojení ve formě reverzního shellu Transport Layer Security (TLS) zpět k serveru Command-and-Control (C2).

Whirlpool byl identifikován jako 32bitový Executable and Linkable Format (ELF). Funguje tak, že přijímá dva kritické argumenty – IP adresu C2 a číslo portu – od konkrétního modulu. Tyto parametry jsou zásadní pro zahájení zřízení výše zmíněného reverzního shellu Transport Layer Security (TLS).

Abychom se dále ponořili, metoda reverzního shellu TLS slouží jako technika používaná při kybernetických útocích, fungující k vytvoření bezpečného a šifrovaného komunikačního kanálu mezi napadeným systémem a serverem pod kontrolou útočníků. Bohužel modul, který poskytuje základní argumenty pro tento proces, nebyl k dispozici pro analýzu CISA.

Kromě Seapsy a Whirlpool byla objevena hrstka dalších backdoor kmenů využívaných v Barracuda ESG zranitelnosti, včetně Saltwater, Submarine a Seaside.

CVE-2023-2868 se pro Barracudu stal významným problémem

Zranitelnost ovlivňující ESG se pro Barracudu vyvinula do znepokojivého utrpení a po odhalení zranitelnosti zero-day v říjnu 2022 se rychle setkala s prudkým nárůstem zneužití. V květnu tohoto roku společnost oficiálně potvrdila existenci zranitelnosti a okamžitě vydal záplaty k vyřešení problému.

O pouhé dny později však společnost Barracuda vydala varovné prohlášení pro své zákazníky, ve kterém jim doporučila vyměnit potenciálně zranitelná zařízení, konkrétně operační verze 5.1.3.001 až 9.2.0.006, i když byly záplaty aplikovány. Dokonce i měsíce později důkazy od CISA naznačují, že pokračující exploity přetrvávají, což zanechává otázky týkající se strategie Barracudy k efektivnímu vyřešení záležitosti.