Вредоносное ПО Whirlpool

Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) выявило атаки Advanced Persistent Threat (APT), нацеленные на ранее неизвестную уязвимость нулевого дня в устройствах Barracuda Email Security Gateway (ESG).

Уязвимость, о которой идет речь, как указано в предупреждении CISA, была использована для внедрения вредоносного ПО Seapsy и Whirlpool на взломанные устройства. CISA сообщила, что им удалось получить четыре образца развернутых вредоносных программ, включая бэкдоры Seapsy и Whirlpool. Компрометация устройства произошла благодаря злоумышленникам, воспользовавшимся пробелом в безопасности в ESG Barracuda. Эта уязвимость, отслеживаемая как CVE-2023-2868, делает возможным удаленное выполнение команд на устройствах ESG с версиями от 5.1.3.001 до 9.2.0.006.

Вредоносное ПО Whirlpool устанавливает бэкдор-соединение со взломанными системами

Seapsy является известным и стойким преступником в сфере преступлений Barracuda. Он умело маскируется под подлинный сервис Barracuda под названием «BarracudaMailService», позволяя злоумышленникам выполнять произвольные команды на устройстве ESG. С другой стороны, Whirlpool представляет собой новый наступательный бэкдор, используемый злоумышленниками для установления безопасного соединения в форме обратной оболочки Transport Layer Security (TLS) обратно к серверу Command-and-Control (C2).

Примечательно, что Whirlpool был идентифицирован как 32-битный исполняемый и связываемый формат (ELF). Он работает, получая два критических аргумента — IP-адрес C2 и номер порта — от определенного модуля. Эти параметры необходимы для инициирования установки вышеупомянутой обратной оболочки Transport Layer Security (TLS).

Чтобы углубиться, метод обратной оболочки TLS служит методом, используемым в кибератаках, функционирующим для установления безопасного и зашифрованного канала связи между скомпрометированной системой и сервером, находящимся под контролем злоумышленников. К сожалению, модуль, предоставляющий существенные аргументы в пользу этого процесса, не был доступен для анализа CISA.

Помимо Seapsy и Whirlpool, было обнаружено несколько других штаммов бэкдоров, эксплуатируемых в уязвимостях Barracuda ESG, включая Saltwater, Submarine и Seaside.

CVE-2023-2868 превратилась в серьезную проблему для Barracuda

Уязвимость, затрагивающая ESG, превратилась в серьезное испытание для Barracuda, которая быстро столкнулась с всплеском эксплойтов после обнаружения уязвимости нулевого дня в октябре 2022 года. В мае текущего года компания официально признала существование уязвимости и своевременно выпущенные исправления для решения проблемы.

Однако всего через несколько дней Barracuda выпустила предостережение для своих клиентов, посоветовав им заменить потенциально уязвимые устройства, особенно рабочие версии с 5.1.3.001 по 9.2.0.006, даже если были применены исправления. Даже несколько месяцев спустя данные CISA свидетельствуют о том, что продолжающиеся эксплойты продолжаются, что оставляет вопросы относительно стратегии Barracuda по эффективному решению проблемы.