Whirlpool Malware

United States Cybersecurity and Infrastructure Security Agency (CISA) har identifisert Advanced Persistent Threat (APT)-angrep rettet mot en tidligere ikke avslørt nulldagssårbarhet i Barracuda Email Security Gateway (ESG)-enheter.

Sikkerheten i spørsmålet, som skissert i et CISA-varsel, ble utnyttet til å introdusere Seapsy og Whirlpool bakdørs malware nyttelast på de kompromitterte enhetene. CISA har rapportert at de har klart å få tak i fire prøver av de utplasserte malware-truslene, som inkluderer Seapsy og Whirlpool-bakdørene. Kompromisset med enheten skjedde gjennom trusselaktører som utnyttet sikkerhetshullet i Barracuda ESG. Dette sikkerhetsproblemet, sporet som CVE-2023-2868, muliggjør ekstern kjøring av kommandoer på ESG-enheter som opererer versjon 5.1.3.001 til 9.2.0.006.

The Whirlpool Malware etablerer en bakdørsforbindelse til ødelagte systemer

Seapsy er en velkjent og varig skyldige innenfor området for Barracuda-forbrytelser. Den forkledninger seg dyktig som en ekte Barracuda-tjeneste under navnet "BarracudaMailService", som gir trusselaktører mulighet til å utføre vilkårlige kommandoer på ESG-enheten. På en kontrast, representerer Whirlpool en ny offensiv bakdør utnyttet av angripere for å etablere en sikker forbindelse i form av et Transport Layer Security (TLS) reversshell tilbake til Command-and-Control (C2)-serveren.

Spesielt ble Whirlpool identifisert som et 32-biters kjørbart og koblingsbart format (ELF). Den fungerer ved å motta to kritiske argumenter – C2 IP-adresse og portnummer – fra en bestemt modul. Disse parameterne er avgjørende for å starte etableringen av det nevnte Transport Layer Security (TLS) omvendt skall.

For å dykke videre, fungerer TLS omvendt skall-metoden som en teknikk som brukes i nettangrep, som fungerer for å etablere en sikker og kryptert kommunikasjonskanal mellom et kompromittert system og en server under kontroll av angriperne. Dessverre var modulen som gir de essensielle argumentene for denne prosessen ikke tilgjengelig for analyse av CISA.

I tillegg til Seapsy og Whirlpool, ble en håndfull andre bakdørsstammer som ble utnyttet i Barracuda ESG-sårbarheter oppdaget, inkludert Saltwater, Submarine og Seaside.

CVE-2023-2868 har blitt et betydelig problem for Barracuda

Sårbarheten som påvirker ESG har utviklet seg til en bekymringsfull prøvelse for Barracuda, og møter raskt en økning i utnyttelser etter oppdagelsen av nulldagerssårbarheten i oktober 2022. I mai inneværende år erkjente selskapet offisielt eksistensen av sårbarheten og umiddelbart utgitt patcher for å løse problemet.

Men bare dager senere ga Barracuda en advarende erklæring til sine kunder, og rådet dem til å erstatte potensielt sårbare apparater, spesielt de som opererer versjonene 5.1.3.001 til 9.2.0.006, selv om oppdateringene var blitt brukt. Selv måneder senere tyder bevis fra CISA på at pågående utnyttelser vedvarer, og etterlater spørsmål angående Barracudas strategi for å løse saken effektivt.