Whirlpool malware

Det amerikanske cybersikkerheds- og infrastruktursikkerhedsagentur (CISA) har identificeret Advanced Persistent Threat (APT)-angreb rettet mod en tidligere ukendt nul-dages sårbarhed i Barracuda Email Security Gateway (ESG)-apparater.

Den pågældende sårbarhed, som beskrevet i en CISA-advarsel, blev udnyttet til at introducere Seapsy og Whirlpool bagdørs malware-nyttelast på de kompromitterede enheder. CISA har rapporteret, at det er lykkedes dem at få fire prøver af de implementerede malware-trusler, som inkluderer Seapsy og Whirlpool bagdørene. Kompromiset med enheden skete gennem trusselsaktører, der udnyttede sikkerhedshullet i Barracuda ESG. Denne sårbarhed, der spores som CVE-2023-2868, muliggør fjernudførelse af kommandoer på ESG-apparater, der kører version 5.1.3.001 til 9.2.0.006.

Whirlpool-malwaren etablerer en bagdørsforbindelse til brudte systemer

Seapsy er en velkendt og vedvarende synder inden for Barracuda-forseelser. Den forklæder sig dygtigt som en ægte Barracuda-tjeneste under navnet 'BarracudaMailService', der giver trusselsaktører mulighed for at udføre vilkårlige kommandoer på ESG-apparatet. Som en kontrast repræsenterer Whirlpool en ny offensiv bagdør, der er udnyttet af angribere til at etablere en sikker forbindelse i form af en Transport Layer Security (TLS) reverse shell tilbage til Command-and-Control-serveren (C2).

Navnlig blev Whirlpool identificeret som et 32-bit Executable and Linkable Format (ELF). Den fungerer ved at modtage to kritiske argumenter - C2 IP-adresse og portnummer - fra et specifikt modul. Disse parametre er essentielle for at påbegynde etableringen af den førnævnte Transport Layer Security (TLS) reverse shell.

For at dykke yderligere, tjener TLS reverse shell-metoden som en teknik, der anvendes i cyberangreb, der fungerer til at etablere en sikker og krypteret kommunikationskanal mellem et kompromitteret system og en server under kontrol af angriberne. Desværre var modulet, der giver de væsentlige argumenter for denne proces, ikke tilgængelig for analyse af CISA.

Ud over Seapsy og Whirlpool blev en håndfuld andre bagdørsstammer, der blev udnyttet i Barracuda ESG-sårbarheder, opdaget, inklusive Saltwater, Submarine og Seaside.

CVE-2023-2868 er blevet til et væsentligt problem for Barracuda

Sårbarheden, der påvirker ESG, har udviklet sig til en bekymrende prøvelse for Barracuda, der hurtigt støder på en stigning i udnyttelser efter opdagelsen af nul-dages sårbarheden i oktober 2022. I maj i indeværende år anerkendte virksomheden officielt eksistensen af sårbarheden og omgående frigivet patches for at løse problemet.

Men kun få dage senere udsendte Barracuda en advarselserklæring til sine kunder, hvori de rådede dem til at udskifte potentielt sårbare apparater, specifikt de operative versioner 5.1.3.001 til 9.2.0.006, selvom patcherne var blevet anvendt. Selv måneder senere tyder beviser fra CISA på, at igangværende udnyttelser fortsætter, hvilket efterlader spørgsmål vedrørende Barracudas strategi for at løse sagen effektivt.