Whirlpool-malware

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft Advanced Persistent Threat (APT)-aanvallen geïdentificeerd die gericht zijn op een voorheen niet bekendgemaakte zero-day kwetsbaarheid in de Barracuda Email Security Gateway (ESG)-appliances.

De kwetsbaarheid in kwestie, zoals geschetst in een CISA-waarschuwing, werd misbruikt om backdoor-malware-payloads van Seapsy en Whirlpool op de gecompromitteerde apparaten te introduceren. CISA heeft gemeld dat ze erin geslaagd zijn vier voorbeelden van de ingezette malwarebedreigingen te bemachtigen, waaronder de backdoors Seapsy en Whirlpool. Het compromitteren van het apparaat kwam tot stand doordat bedreigingsactoren misbruik maakten van het veiligheidsgat in de Barracuda ESG. Deze kwetsbaarheid, gevolgd als CVE-2023-2868, maakt het mogelijk om op afstand commando's uit te voeren op ESG-appliances met versies 5.1.3.001 tot en met 9.2.0.006.

De Whirlpool-malware brengt een achterdeurverbinding tot stand met gehackte systemen

Seapsy is een bekende en hardnekkige boosdoener op het gebied van Barracuda-overtredingen. Het vermomt zichzelf vakkundig als een echte Barracuda-service onder de naam 'BarracudaMailService', waardoor bedreigingsactoren willekeurige opdrachten kunnen uitvoeren op het ESG-apparaat. Aan de andere kant vertegenwoordigt Whirlpool een nieuwe offensieve achterdeur die door aanvallers wordt gebruikt om een veilige verbinding tot stand te brengen in de vorm van een Transport Layer Security (TLS) reverse shell terug naar de Command-and-Control (C2)-server.

Whirlpool werd met name geïdentificeerd als een 32-bits uitvoerbaar en koppelbaar formaat (ELF). Het werkt door twee kritieke argumenten te ontvangen - C2 IP-adres en poortnummer - van een specifieke module. Deze parameters zijn essentieel bij het initiëren van de oprichting van de eerder genoemde Transport Layer Security (TLS) reverse shell.

Om verder te graven, dient de TLS reverse shell-methode als een techniek die wordt gebruikt bij cyberaanvallen en functioneert om een veilige en gecodeerde communicatieverbinding tot stand te brengen tussen een gecompromitteerd systeem en een server onder controle van de aanvallers. De module die de essentiële argumenten voor dit proces levert, was helaas niet beschikbaar voor analyse door CISA.

Naast Seapsy en Whirlpool werden een handvol andere backdoor-stammen ontdekt die werden uitgebuit in Barracuda ESG-kwetsbaarheden, waaronder Saltwater, Submarine en Seaside.

CVE-2023-2868 is een belangrijk probleem geworden voor Barracuda

De kwetsbaarheid die de ESG treft, is uitgegroeid tot een zorgwekkende beproeving voor Barracuda, die snel een golf van exploits tegenkomt na de ontdekking van de zero-day kwetsbaarheid in oktober 2022. In mei van het lopende jaar erkende het bedrijf officieel het bestaan van de kwetsbaarheid en bracht onmiddellijk patches uit om het probleem aan te pakken.

Slechts enkele dagen later gaf Barracuda echter een waarschuwende verklaring af aan zijn klanten, waarin hij hen adviseerde om mogelijk kwetsbare apparaten te vervangen, met name de versies 5.1.3.001 tot en met 9.2.0.006, zelfs als de patches waren toegepast. Zelfs maanden later suggereert bewijs van CISA dat er nog steeds misbruik wordt gemaakt, waardoor er vragen zijn over Barracuda's strategie om de zaak effectief op te lossen.