Whirlpool Malware

A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) identificou ataques de Ameaça Persistente Avançada (APT) visando uma vulnerabilidade de dia zero não divulgada anteriormente nos dispositivos Barracuda Email Security Gateway (ESG).

A vulnerabilidade em questão, conforme descrito em um alerta da CISA, foi explorada para introduzir cargas úteis de malware backdoor Seapsy e Whirlpool nos dispositivos comprometidos. A CISA informou que conseguiu obter quatro amostras das ameaças de malware implantadas, que incluem os backdoors Seapsy e Whirlpool. O comprometimento do dispositivo ocorreu por meio de agentes de ameaças capitalizando a falha de segurança no Barracuda ESG. Essa vulnerabilidade, rastreada como CVE-2023-2868, permite a execução remota de comandos em dispositivos ESG que operam nas versões 5.1.3.001 a 9.2.0.006.

O Whirlpool Malware Estabelece uma Conexão de Backdoor nos Sistemas Violados

O Seapsy é um culpado conhecido e duradouro no reino dos crimes de Barracuda. Ele se disfarça habilmente como um serviço Barracuda genuíno sob o nome 'BarracudaMailService', permitindo que agentes de ameaças executem comandos arbitrários no dispositivo ESG. Em uma nota contrastante, Whirlpool representa um novo backdoor ofensivo aproveitado por invasores para estabelecer uma conexão segura na forma de um shell reverso Transport Layer Security (TLS) de volta ao servidor Command-and-Control (C2).

Notavelmente, Whirlpool foi identificado como um formato executável e vinculável de 32 bits (ELF). Ele opera recebendo dois argumentos críticos — endereço IP C2 e número da porta — de um módulo específico. Esses parâmetros são essenciais para iniciar o estabelecimento do shell reverso TLS (Transport Layer Security) mencionado anteriormente.

Para aprofundar, o método TLS reverse shell serve como uma técnica empregada em ataques cibernéticos, funcionando para estabelecer um canal de comunicação seguro e criptografado entre um sistema comprometido e um servidor sob o controle dos invasores. Infelizmente, o módulo que fornece os argumentos essenciais para esse processo não estava disponível para análise da CISA.

Além de Seapsy e Whirlpool, um punhado de outros backdoors explorados nas vulnerabilidades Barracuda ESG foram descobertas, incluindo Saltwater, Submarine e Seaside.

A CVE-2023-2868 Se Transformou em um Problema Significativo para o Barracuda

A vulnerabilidade que afeta o ESG evoluiu para uma provação preocupante para Barracuda, encontrando rapidamente um aumento nas explorações após a descoberta da vulnerabilidade de dia zero em outubro de 2022. Em maio do ano atual, a empresa reconheceu oficialmente a existência da vulnerabilidade e prontamente lançou patches para resolver o problema.

No entanto, poucos dias depois, a Barracuda emitiu uma declaração de advertência aos seus clientes, aconselhando-os a substituir aparelhos potencialmente vulneráveis, especificamente as versões operacionais 5.1.3.001 a 9.2.0.006, mesmo que os patches tivessem sido aplicados. Mesmo meses depois, as evidências da CISA sugerem que as explorações em andamento persistem, deixando dúvidas sobre a estratégia da Barracuda para resolver o problema de forma eficaz.