Whirlpool Malware

United States Cybersecurity and Infrastructure Security Agency (CISA) har identifierat Advanced Persistent Threat (APT)-attacker som riktar sig mot en tidigare okänd nolldagarssårbarhet i Barracuda Email Security Gateway (ESG)-apparater.

Sårbarheten i fråga, som beskrivs i en CISA-varning, utnyttjades för att introducera Seapsy och Whirlpool bakdörr skadlig programvara på de komprometterade enheterna. CISA har rapporterat att de har lyckats få fyra prover av de utplacerade skadliga hoten, som inkluderar Seapsy och Whirlpools bakdörrar. Kompromissen med enheten skedde genom att hotaktörer utnyttjade säkerhetsgapet i Barracuda ESG. Denna sårbarhet, spårad som CVE-2023-2868, möjliggör fjärrkommandoexekvering på ESG-apparater med versioner 5.1.3.001 till 9.2.0.006.

Whirlpool Malware upprättar en bakdörrsanslutning till system som har brutits

Seapsy är en välkänd och bestående gärningsman inom området för Barracuda-brott. Den maskerar sig skickligt som en äkta Barracuda-tjänst under namnet "BarracudaMailService", som ger hotaktörer möjlighet att utföra godtyckliga kommandon på ESG-apparaten. Som en kontrast representerar Whirlpool en ny offensiv bakdörr som utnyttjas av angripare för att upprätta en säker anslutning i form av ett omvänt skal för Transport Layer Security (TLS) tillbaka till Command-and-Control-servern (C2).

Noterbart identifierades Whirlpool som ett 32-bitars körbart och länkbart format (ELF). Den fungerar genom att ta emot två kritiska argument – C2 IP-adress och portnummer – från en specifik modul. Dessa parametrar är väsentliga för att initiera upprättandet av det tidigare nämnda Transport Layer Security (TLS) omvända skalet.

För att fördjupa sig ytterligare, fungerar TLS omvänd skal-metoden som en teknik som används vid cyberattacker, som fungerar för att etablera en säker och krypterad kommunikationskanal mellan ett komprometterat system och en server under kontroll av angriparna. Tyvärr var modulen som ger de väsentliga argumenten för denna process inte tillgänglig för analys av CISA.

Förutom Seapsy och Whirlpool upptäcktes en handfull andra bakdörrsstammar som utnyttjades i Barracuda ESG-sårbarheter, inklusive Saltwater, Submarine och Seaside.

CVE-2023-2868 har förvandlats till ett betydande problem för Barracuda

Sårbarheten som påverkar ESG har utvecklats till en oroande prövning för Barracuda, och stöter snabbt på en ökning av utnyttjandet efter upptäckten av nolldagarssårbarheten i oktober 2022. I maj innevarande år erkände företaget officiellt att sårbarheten existerade och släppte omedelbart patchar för att lösa problemet.

Men bara några dagar senare utfärdade Barracuda ett varningsmeddelande till sina kunder, och rådde dem att byta ut potentiellt sårbara apparater, särskilt de som fungerar versionerna 5.1.3.001 till 9.2.0.006, även om patcharna hade applicerats. Även månader senare tyder bevis från CISA på att pågående exploateringar kvarstår, vilket lämnar frågor om Barracudas strategi för att lösa problemet effektivt.