Κακόβουλο λογισμικό Whirlpool

Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των Ηνωμένων Πολιτειών (CISA) εντόπισε επιθέσεις Advanced Persistent Threat (APT) που στοχεύουν μια ευπάθεια zero-day που δεν είχε αποκαλυφθεί προηγουμένως στις συσκευές Barracuda Email Security Gateway (ESG).

Η εν λόγω ευπάθεια, όπως περιγράφεται σε μια ειδοποίηση CISA, αξιοποιήθηκε για την εισαγωγή ωφέλιμων φορτίων κακόβουλου λογισμικού backdoor Seapsy και Whirlpool στις παραβιασμένες συσκευές. Η CISA ανέφερε ότι κατάφεραν να αποκτήσουν τέσσερα δείγματα των αναπτυσσόμενων απειλών κακόβουλου λογισμικού, τα οποία περιλαμβάνουν τις κερκόπορτες Seapsy και Whirlpool. Ο συμβιβασμός της συσκευής προέκυψε μέσω των παραγόντων απειλών που αξιοποιούσαν το κενό ασφαλείας στο Barracuda ESG. Αυτή η ευπάθεια, η οποία παρακολουθείται ως CVE-2023-2868, επιτρέπει την απομακρυσμένη εκτέλεση εντολών σε συσκευές ESG που λειτουργούν τις εκδόσεις 5.1.3.001 έως 9.2.0.006.

Το κακόβουλο λογισμικό Whirlpool δημιουργεί μια σύνδεση παρασκηνίου σε συστήματα που έχουν παραβιαστεί

Ο Seapsy είναι ένας πολύ γνωστός και διαρκής ένοχος στη σφαίρα των αδικημάτων Barracuda. Μεταμφιέζεται επιδέξια ως μια γνήσια υπηρεσία Barracuda με την ονομασία «BarracudaMailService», επιτρέποντας στους παράγοντες απειλών να εκτελούν αυθαίρετες εντολές στη συσκευή ESG. Σε μια αντίθετη σημείωση, το Whirlpool αντιπροσωπεύει μια νέα επιθετική κερκόπορτα που αξιοποιείται από επιτιθέμενους για να δημιουργήσουν μια ασφαλή σύνδεση με τη μορφή αντίστροφου κελύφους ασφάλειας επιπέδου μεταφοράς (TLS) πίσω στον διακομιστή Command-and-Control (C2).

Αξίζει να σημειωθεί ότι το Whirlpool αναγνωρίστηκε ως 32-bit Executable and Linkable Format (ELF). Λειτουργεί λαμβάνοντας δύο κρίσιμα ορίσματα—διεύθυνση IP C2 και αριθμό θύρας—από μια συγκεκριμένη μονάδα. Αυτές οι παράμετροι είναι απαραίτητες για την έναρξη της δημιουργίας του προαναφερθέντος αντιστρόφου κελύφους ασφάλειας επιπέδου μεταφοράς (TLS).

Για να εμβαθύνουμε περαιτέρω, η μέθοδος αντίστροφου κελύφους TLS χρησιμεύει ως τεχνική που χρησιμοποιείται σε κυβερνοεπιθέσεις, λειτουργώντας για τη δημιουργία ενός ασφαλούς και κρυπτογραφημένου αγωγού επικοινωνίας μεταξύ ενός παραβιασμένου συστήματος και ενός διακομιστή υπό τον έλεγχο των εισβολέων. Δυστυχώς, η ενότητα που παρέχει τα βασικά επιχειρήματα για αυτή τη διαδικασία δεν ήταν διαθέσιμη για ανάλυση από την CISA.

Εκτός από το Seapsy και το Whirlpool, ανακαλύφθηκαν μια χούφτα άλλα στελέχη backdoor που εκμεταλλεύτηκαν τα τρωτά σημεία του Barracuda ESG, συμπεριλαμβανομένων των Saltwater, Submarine και Seaside.

Το CVE-2023-2868 έχει μετατραπεί σε σημαντικό ζήτημα για τον Barracuda

Η ευπάθεια που επηρεάζει το ESG έχει εξελιχθεί σε μια ανησυχητική δοκιμασία για τον Barracuda, που αντιμετωπίζει γρήγορα μια αύξηση των εκμεταλλεύσεων μετά την ανακάλυψη της ευπάθειας zero-day τον Οκτώβριο του 2022. Τον Μάιο του τρέχοντος έτους, η εταιρεία αναγνώρισε επίσημα την ύπαρξη της ευπάθειας και κυκλοφόρησε αμέσως ενημερώσεις κώδικα για την αντιμετώπιση του ζητήματος.

Ωστόσο, λίγες μέρες αργότερα, η Barracuda εξέδωσε μια προειδοποιητική δήλωση στους πελάτες της, συμβουλεύοντάς τους να αντικαταστήσουν τις δυνητικά ευάλωτες συσκευές, ειδικά εκείνες τις εκδόσεις λειτουργίας 5.1.3.001 έως 9.2.0.006, ακόμη και αν είχαν εφαρμοστεί οι ενημερώσεις κώδικα. Ακόμη και μήνες αργότερα, τα στοιχεία από τη CISA υποδηλώνουν ότι τα συνεχιζόμενα κατορθώματα εξακολουθούν να υφίστανται, αφήνοντας ερωτήματα σχετικά με τη στρατηγική του Barracuda να επιλύσει αποτελεσματικά το ζήτημα.