Whirlpool Malware

Az Egyesült Államok Kiberbiztonsági és Infrastrukturális Biztonsági Ügynöksége (CISA) Advanced Persistent Threat (APT) támadásokat azonosított, amelyek a Barracuda Email Security Gateway (ESG) készülékeinek egy korábban fel nem tárt nulladik napi sebezhetőségét célozzák.

A szóban forgó sérülékenységet, amint azt egy CISA riasztás is körvonalazta, arra használták ki, hogy Seapsy és Whirlpool backdoor rosszindulatú programokat helyezzenek el a feltört eszközökön. A CISA arról számolt be, hogy négy mintát sikerült beszerezniük a telepített rosszindulatú fenyegetésekből, köztük a Seapsy és a Whirlpool hátsó ajtókból. Az eszköz kompromisszuma a Barracuda ESG biztonsági réseit kihasználó fenyegetéseken keresztül ment végbe. Ez a CVE-2023-2868-as biztonsági rés lehetővé teszi a parancsok távoli végrehajtását az 5.1.3.001 és 9.2.0.006 közötti verziójú ESG készülékeken.

A Whirlpool rosszindulatú program hátsó ajtó kapcsolatot hoz létre a feltört rendszerekkel

Seapsy egy jól ismert és tartós bűnös a Barracuda-bűncselekmények birodalmában. Alkalmasan valódi Barracuda szolgáltatásnak álcázza magát „BarracudaMailService” néven, lehetővé téve a fenyegetés szereplői számára, hogy tetszőleges parancsokat hajtsanak végre az ESG készüléken. Ezzel ellentétben a Whirlpool egy új támadó hátsó ajtó, amelyet a támadók arra használnak fel, hogy biztonságos kapcsolatot létesítsenek egy TLS (Transport Layer Security) fordított shell formájában vissza a Command-and-Control (C2) szerverhez.

A Whirlpoolt 32 bites végrehajtható és összekapcsolható formátumként (ELF) azonosították. Úgy működik, hogy két kritikus argumentumot – C2 IP-címet és portszámot – kap egy adott modultól. Ezek a paraméterek elengedhetetlenek a már említett Transport Layer Security (TLS) fordított shell létrehozásának kezdeményezéséhez.

A TLS fordított shell módszere a kibertámadásoknál alkalmazott technika, amely biztonságos és titkosított kommunikációs csatornát hoz létre a feltört rendszer és a támadók irányítása alatt álló szerver között. Sajnos az ehhez a folyamathoz szükséges alapvető érveket tartalmazó modul nem volt elérhető a CISA elemzésére.

A Seapsy és a Whirlpool mellett a Barracuda ESG sebezhetőségében kihasznált maroknyi backdoor törzset is felfedeztek, köztük a Saltwatert, a Submarine-t és a Seaside-t.

A CVE-2023-2868 jelentős problémává vált a Barracuda számára

Az ESG-t érintő sebezhetőség aggasztó megpróbáltatássá nőtte ki magát a Barracuda számára: a zero-day sebezhetőség 2022 októberi felfedezését követően gyorsan megnőtt a kihasználások száma. Ez év májusában a vállalat hivatalosan is elismerte a sérülékenység létezését, és azonnal kiadott javításokat a probléma megoldására.

Azonban néhány nap múlva a Barracuda figyelmeztető nyilatkozatot adott ki ügyfeleinek, amelyben azt tanácsolta nekik, hogy cseréljék ki a potenciálisan sérülékeny készülékeket, különösen az 5.1.3.001-től 9.2.0.006-ig tartó működési verziókat, még akkor is, ha a javításokat alkalmazták. Még hónapokkal később is a CISA bizonyítékai arra utalnak, hogy a folyamatos visszaélések továbbra is fennállnak, ami kérdéseket vet fel a Barracuda stratégiájával kapcsolatban az ügy hatékony megoldására.