Whirlpool Malware

Agensi Keselamatan Siber dan Infrastruktur Amerika Syarikat (CISA) telah mengenal pasti serangan Ancaman Berterusan Lanjutan (APT) yang menyasarkan kerentanan sifar hari yang tidak didedahkan sebelum ini dalam peralatan Gerbang Keselamatan E-mel Barracuda (ESG).

Kerentanan yang dipersoalkan, seperti yang digariskan dalam amaran CISA, telah dieksploitasi untuk memperkenalkan muatan perisian hasad pintu belakang Seapsy dan Whirlpool pada peranti yang terjejas. CISA telah melaporkan bahawa mereka telah berjaya mendapatkan empat sampel ancaman perisian hasad yang digunakan, termasuk pintu belakang Seapsy dan Whirlpool. Kompromi peranti itu berlaku melalui pelaku ancaman yang memanfaatkan jurang keselamatan dalam Barracuda ESG. Kerentanan ini, dijejaki sebagai CVE-2023-2868, membolehkan pelaksanaan arahan jauh pada peralatan ESG yang beroperasi versi 5.1.3.001 hingga 9.2.0.006.

Whirlpool Malware Mewujudkan Sambungan Pintu Belakang kepada Sistem yang Dilanggar

Seapsy adalah penyebab yang terkenal dan kekal dalam bidang kesalahan Barracuda. Ia dengan cekap menyamar sebagai perkhidmatan Barracuda tulen di bawah nama 'BarracudaMailService,' yang memberikan pelaku ancaman untuk melaksanakan arahan sewenang-wenangnya pada perkakas ESG. Pada nota yang berbeza, Whirlpool mewakili pintu belakang serangan baharu yang dimanfaatkan oleh penyerang untuk mewujudkan sambungan selamat dalam bentuk cangkang terbalik Keselamatan Lapisan Pengangkutan (TLS) kembali ke pelayan Perintah-dan-Kawalan (C2).

Terutama, Whirlpool telah dikenal pasti sebagai Format Boleh Laku dan Boleh Paut (ELF) 32-bit. Ia beroperasi dengan menerima dua hujah kritikal—alamat IP C2 dan nombor port—daripada modul tertentu. Parameter ini penting dalam memulakan penubuhan cangkerang terbalik Keselamatan Lapisan Pengangkutan (TLS) yang disebutkan di atas.

Untuk menyelidiki lebih lanjut, kaedah cangkerang terbalik TLS berfungsi sebagai teknik yang digunakan dalam serangan siber, berfungsi untuk mewujudkan saluran komunikasi yang selamat dan disulitkan antara sistem yang terjejas dan pelayan di bawah kawalan penyerang. Malangnya, modul yang memberikan hujah penting untuk proses ini tidak tersedia untuk analisis oleh CISA.

Selain Seapsy dan Whirlpool, segelintir strain pintu belakang lain yang dieksploitasi dalam kerentanan ESG Barracuda telah ditemui, termasuk Air Masin, Kapal Selam dan Tepi Laut.

CVE-2023-2868 Telah Berubah Menjadi Isu Penting untuk Barracuda

Kerentanan yang menjejaskan ESG telah berkembang menjadi pengalaman pahit yang membimbangkan bagi Barracuda, dengan pantas menghadapi lonjakan dalam eksploitasi berikutan penemuan kerentanan sifar hari pada Oktober 2022. Pada bulan Mei tahun semasa, syarikat itu secara rasmi mengakui kewujudan kelemahan dan segera mengeluarkan patch untuk menangani isu tersebut.

Walau bagaimanapun, hanya beberapa hari kemudian, Barracuda mengeluarkan kenyataan amaran kepada pelanggannya, menasihatkan mereka untuk menggantikan peralatan yang berpotensi terdedah, khususnya versi operasi 5.1.3.001 hingga 9.2.0.006, walaupun tampung telah digunakan. Malah beberapa bulan kemudian, bukti daripada CISA menunjukkan bahawa eksploitasi berterusan berterusan, meninggalkan persoalan mengenai strategi Barracuda untuk menyelesaikan perkara itu dengan berkesan.