Złośliwe oprogramowanie firmy Whirlpool

Amerykańska Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) zidentyfikowała ataki APT (Advanced Persistent Threat) wymierzone w nieujawnioną wcześniej lukę dnia zerowego w urządzeniach Barracuda Email Security Gateway (ESG).

Luka, o której mowa w ostrzeżeniu CISA, została wykorzystana do wprowadzenia na zaatakowane urządzenia szkodliwego oprogramowania typu backdoor firmy Seapsy i Whirlpool. CISA poinformowało, że udało im się uzyskać cztery próbki wdrożonych zagrożeń złośliwym oprogramowaniem, w tym backdoory Seapsy i Whirlpool. Kompromitacja urządzenia została ujawniona przez cyberprzestępców, którzy wykorzystali lukę w zabezpieczeniach w Barracuda ESG. Luka ta, śledzona jako CVE-2023-2868, umożliwia zdalne wykonanie polecenia na urządzeniach ESG z wersjami operacyjnymi od 5.1.3.001 do 9.2.0.006.

Złośliwe oprogramowanie firmy Whirlpool ustanawia połączenie typu backdoor z naruszonymi systemami

Seapsy jest dobrze znanym i trwałym winowajcą w dziedzinie przestępstw Barracuda. Zręcznie udaje prawdziwą usługę Barracuda pod nazwą „BarracudaMailService”, umożliwiając cyberprzestępcom wykonywanie dowolnych poleceń na urządzeniu ESG. Z drugiej strony Whirlpool reprezentuje nowy ofensywny backdoor wykorzystywany przez atakujących do ustanowienia bezpiecznego połączenia w postaci odwróconej powłoki Transport Layer Security (TLS) z powrotem do serwera Command-and-Control (C2).

Warto zauważyć, że Whirlpool został zidentyfikowany jako 32-bitowy format wykonywalny i możliwy do połączenia (ELF). Działa poprzez otrzymywanie dwóch krytycznych argumentów — adresu IP C2 i numeru portu — z określonego modułu. Te parametry są niezbędne do zainicjowania ustanowienia wspomnianej odwrotnej powłoki Transport Layer Security (TLS).

Aby zagłębić się dalej, metoda odwrotnej powłoki TLS służy jako technika wykorzystywana w cyberatakach, działająca w celu ustanowienia bezpiecznego i zaszyfrowanego kanału komunikacyjnego między zaatakowanym systemem a serwerem kontrolowanym przez atakujących. Niestety moduł, który dostarcza istotnych argumentów przemawiających za tym procesem, nie był dostępny do analizy przez CISA.

Oprócz Seapsy i Whirlpool wykryto kilka innych szczepów backdoorów wykorzystywanych w lukach Barracuda ESG, w tym Saltwater, Submarine i Seaside.

CVE-2023-2868 stał się poważnym problemem dla Barracudy

Luka wpływająca na ESG przekształciła się w niepokojącą mękę dla Barracudy, która po wykryciu luki dnia zerowego w październiku 2022 r. szybko napotkała gwałtowny wzrost liczby exploitów. W maju bieżącego roku firma oficjalnie potwierdziła istnienie luki i niezwłocznie wydała łatki rozwiązujące ten problem.

Jednak zaledwie kilka dni później firma Barracuda wystosowała ostrzeżenie do swoich klientów, doradzając im wymianę potencjalnie podatnych na ataki urządzeń, w szczególności wersji operacyjnych od 5.1.3.001 do 9.2.0.006, nawet jeśli łatki zostały zastosowane. Nawet miesiące później dowody z CISA sugerują, że trwające exploity nadal się utrzymują, pozostawiając pytania dotyczące strategii firmy Barracuda mającej na celu skuteczne rozwiązanie sprawy.