Malware Whirlpool

Agjencia e Shteteve të Bashkuara për Sigurinë Kibernetike dhe Sigurinë e Infrastrukturës (CISA) ka identifikuar sulme të Kërcënimit të Përparuar të Përhershëm (APT) që synojnë një cenueshmëri të pazbuluar më parë të ditës zero në pajisjet Barracuda Email Security Gateway (ESG).

Dobësia në fjalë, siç përshkruhet në një alarm CISA, u shfrytëzua për të futur ngarkesa malware të pasme të Seapsy dhe Whirlpool në pajisjet e komprometuara. CISA ka raportuar se ata kanë arritur të marrin katër mostra të kërcënimeve malware të vendosura, të cilat përfshijnë dyert e pasme Seapsy dhe Whirlpool. Kompromisi i pajisjes ndodhi përmes aktorëve të kërcënimit që përfitonin nga hendeku i sigurisë në Barracuda ESG. Kjo dobësi, e gjurmuar si CVE-2023-2868, mundëson ekzekutimin e komandës në distancë në pajisjet ESG që operojnë versionet 5.1.3.001 deri në 9.2.0.006.

Malware Whirlpool krijon një lidhje me dyer të pasme me sistemet e shkelura

Seapsy është një fajtor i njohur dhe i qëndrueshëm në sferën e veprave penale të Barracuda. Ai maskohet me mjeshtëri si një shërbim i vërtetë Barracuda nën emrin 'BarracudaMailService', duke u mundësuar aktorëve të kërcënimit të ekzekutojnë komanda arbitrare në pajisjen ESG. Në një shënim të kundërt, Whirlpool përfaqëson një derë të pasme të re sulmuese të shfrytëzuar nga sulmuesit për të krijuar një lidhje të sigurt në formën e një guaskë të kundërt të Sigurisë së Shtresës së Transportit (TLS) në serverin Command-and-Control (C2).

Veçanërisht, Whirlpool u identifikua si një format 32-bit i ekzekutueshëm dhe i lidhshëm (ELF). Ai funksionon duke marrë dy argumente kritike - adresën IP C2 dhe numrin e portit - nga një modul specifik. Këta parametra janë thelbësorë në fillimin e krijimit të guaskës së kundërt të Sigurisë së Shtresës së Transportit (TLS) të lartpërmendur.

Për të thelluar më tej, metoda e kundërt e guaskës TLS shërben si një teknikë e përdorur në sulmet kibernetike, duke funksionuar për të krijuar një kanal komunikimi të sigurt dhe të koduar midis një sistemi të komprometuar dhe një serveri nën kontrollin e sulmuesve. Fatkeqësisht, moduli që jep argumentet thelbësore për këtë proces nuk ishte i disponueshëm për analizë nga CISA.

Përveç Seapsy dhe Whirlpool, u zbuluan një pjesë e vogël e llojeve të tjera të prapambetura të shfrytëzuara në dobësitë e Barracuda ESG, duke përfshirë Saltwater, Submarine dhe Seaside.

CVE-2023-2868 është kthyer në një çështje të rëndësishme për Barracuda

Dobësia që prek ESG ka evoluar në një sprovë shqetësuese për Barracuda, duke u përballur me shpejtësi në një rritje të shfrytëzimeve pas zbulimit të cenueshmërisë së ditës zero në tetor 2022. Në maj të vitit aktual, kompania pranoi zyrtarisht ekzistencën e cenueshmërisë dhe arna të lëshuara menjëherë për të adresuar problemin.

Megjithatë, vetëm disa ditë më vonë, Barracuda lëshoi një deklaratë paralajmëruese për klientët e saj, duke i këshilluar ata të zëvendësonin pajisjet potencialisht të cenueshme, veçanërisht ato versione që funksionojnë 5.1.3.001 deri në 9.2.0.006, edhe nëse arnimet ishin aplikuar. Edhe muaj më vonë, provat nga CISA sugjerojnë se shfrytëzimet e vazhdueshme vazhdojnë, duke lënë pikëpyetje në lidhje me strategjinë e Barracuda për të zgjidhur çështjen në mënyrë efektive.