월풀 멀웨어

미국 CISA(Cybersecurity and Infrastructure Security Agency)는 Barracuda ESG(Email Security Gateway) 어플라이언스에서 이전에 공개되지 않은 제로데이 취약점을 노리는 APT(Advanced Persistent Threat) 공격을 확인했습니다.

CISA 경보에 요약된 문제의 취약성은 손상된 장치에 Seapsy 및 Whirlpool 백도어 맬웨어 페이로드를 도입하는 데 악용되었습니다. CISA는 Seapsy 및 Whirlpool 백도어를 포함하여 배치된 맬웨어 위협의 샘플 4개를 확보했다고 보고했습니다. 장치의 손상은 Barracuda ESG의 보안 격차를 이용하는 위협 행위자를 통해 발생했습니다. CVE-2023-2868로 등록된 이 취약점은 버전 5.1.3.001~9.2.0.006을 운영하는 ESG 어플라이언스에서 원격 명령 실행을 가능하게 합니다.

Whirlpool 맬웨어는 침해된 시스템에 대한 백도어 연결을 설정합니다.

Seapsy는 Barracuda 공격 영역 내에서 잘 알려져 있고 지속적인 범인입니다. 'BarracudaMailService'라는 이름으로 정품 Barracuda 서비스로 위장하여 위협 행위자가 ESG 어플라이언스에서 임의의 명령을 실행할 수 있도록 합니다. 이와 대조적으로 Whirlpool은 공격자가 C2(Command-and-Control) 서버에 대한 TLS(Transport Layer Security) 리버스 셸의 형태로 보안 연결을 설정하기 위해 이용하는 새로운 공격 백도어를 나타냅니다.

특히 Whirlpool은 32비트 ELF(Executable and Linkable Format)로 식별되었습니다. 특정 모듈로부터 두 개의 중요한 인수인 C2 IP 주소와 포트 번호를 수신하여 작동합니다. 이러한 매개변수는 앞서 언급한 TLS(전송 계층 보안) 역방향 셸의 설정을 시작하는 데 필수적입니다.

TLS 리버스 셸 방법은 사이버 공격에 사용되는 기술로, 손상된 시스템과 공격자의 통제 하에 있는 서버 간에 안전하고 암호화된 통신 도관을 설정하는 기능을 합니다. 불행하게도 이 프로세스에 대한 필수 인수를 제공하는 모듈은 CISA에서 분석할 수 없었습니다.

Seapsy 및 Whirlpool 외에도 Saltwater, Submarine 및 Seaside를 포함하여 Barracuda ESG 취약점에서 악용되는 몇 가지 다른 백도어 변형이 발견되었습니다.

CVE-2023-2868은 Barracuda의 중요한 문제로 바뀌었습니다.

ESG에 영향을 미치는 취약점은 Barracuda에게 우려스러운 시련으로 발전하여 2022년 10월 제로데이 취약점이 발견된 후 익스플로잇이 급증했습니다. 올해 5월 Barracuda는 취약점의 존재를 공식적으로 인정하고 문제를 해결하기 위해 즉시 패치를 릴리스했습니다.

그러나 불과 며칠 후 Barracuda는 패치가 적용되었더라도 잠재적으로 취약한 어플라이언스, 특히 5.1.3.001에서 9.2.0.006까지 작동하는 어플라이언스를 교체할 것을 고객에게 경고하는 성명을 발표했습니다. 몇 달이 지난 후에도 CISA의 증거에 따르면 진행 중인 익스플로잇이 지속되고 있어 문제를 효과적으로 해결하기 위한 Barracuda의 전략에 의문이 남습니다.