Whirlpool มัลแวร์

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ระบุถึงการโจมตีแบบ Advanced Persistent Threat (APT) โดยกำหนดเป้าหมายไปที่ช่องโหว่ Zero-day ที่ไม่เปิดเผยก่อนหน้านี้ในอุปกรณ์ Barracuda Email Security Gateway (ESG)

ช่องโหว่ที่เป็นปัญหาตามที่ระบุไว้ในการแจ้งเตือน CISA ถูกโจมตีเพื่อแนะนำสเปย์โหลดของมัลแวร์แบ็คดอร์ Seapsy และ Whirlpool ไปยังอุปกรณ์ที่ถูกบุกรุก CISA รายงานว่าพวกเขาได้รับตัวอย่างภัยคุกคามจากมัลแวร์ 4 ตัวอย่าง ซึ่งรวมถึงแบ็คดอร์ Seapsy และ Whirlpool การประนีประนอมของอุปกรณ์เกิดขึ้นจากผู้คุกคามที่ใช้ประโยชน์จากช่องว่างด้านความปลอดภัยใน Barracuda ESG ช่องโหว่นี้ซึ่งติดตามเป็น CVE-2023-2868 ทำให้สามารถเรียกใช้คำสั่งจากระยะไกลบนอุปกรณ์ ESG รุ่นปฏิบัติการ 5.1.3.001 ถึง 9.2.0.006

มัลแวร์ Whirlpool สร้างการเชื่อมต่อแบ็คดอร์กับระบบที่ถูกเจาะ

Seapsy เป็นผู้ร้ายที่มีชื่อเสียงและยืนยงในแวดวง Barracuda มันปลอมตัวเป็นบริการ Barracuda ของแท้ภายใต้ชื่อ 'BarracudaMailService' ซึ่งทำให้ผู้คุกคามดำเนินการคำสั่งตามอำเภอใจบนอุปกรณ์ ESG ในหมายเหตุที่ตรงกันข้าม Whirlpool เป็นตัวแทนของประตูหลังที่น่ารังเกียจใหม่ที่ผู้โจมตีควบคุมเพื่อสร้างการเชื่อมต่อที่ปลอดภัยในรูปแบบของการย้อนกลับของ Transport Layer Security (TLS) กลับไปที่เซิร์ฟเวอร์ Command-and-Control (C2)

โดยเฉพาะอย่างยิ่ง Whirlpool ถูกระบุว่าเป็นรูปแบบ 32-bit Executable and Linkable (ELF) มันทำงานโดยรับสองอาร์กิวเมนต์ที่สำคัญ—ที่อยู่ C2 IP และหมายเลขพอร์ต—จากโมดูลเฉพาะ พารามิเตอร์เหล่านี้มีความสำคัญในการเริ่มต้นการสร้างรีเวิร์สเชลล์ของ Transport Layer Security (TLS) ที่กล่าวถึงข้างต้น

หากต้องการเจาะลึกเพิ่มเติม วิธี TLS reverse shell ทำหน้าที่เป็นเทคนิคที่ใช้ในการโจมตีทางไซเบอร์ โดยทำหน้าที่สร้างท่อสื่อสารที่ปลอดภัยและเข้ารหัสระหว่างระบบที่ถูกบุกรุกและเซิร์ฟเวอร์ที่อยู่ภายใต้การควบคุมของผู้โจมตี น่าเสียดายที่โมดูลที่ให้ข้อโต้แย้งที่สำคัญสำหรับกระบวนการนี้ไม่พร้อมสำหรับการวิเคราะห์โดย CISA

นอกเหนือจาก Seapsy และ Whirlpool แล้ว ยังมีการค้นพบสายพันธุ์ลับๆ อีกจำนวนหนึ่งที่ถูกใช้ประโยชน์ในช่องโหว่ Barracuda ESG ซึ่งรวมถึงน้ำเค็ม เรือดำน้ำ และทะเล

CVE-2023-2868 กลายเป็นประเด็นสำคัญสำหรับ Barracuda

ช่องโหว่ที่ส่งผลกระทบต่อ ESG ได้พัฒนาไปสู่การทดสอบที่เกี่ยวข้องสำหรับ Barracuda โดยพบกับการถูกโจมตีอย่างรวดเร็วหลังจากการค้นพบช่องโหว่ซีโร่เดย์ในเดือนตุลาคม 2565 ในเดือนพฤษภาคมของปีปัจจุบัน บริษัทยอมรับการมีอยู่ของช่องโหว่อย่างเป็นทางการและ ออกแพทช์ทันทีเพื่อแก้ไขปัญหา

อย่างไรก็ตาม เพียงไม่กี่วันต่อมา Barracuda ได้ออกคำเตือนให้กับลูกค้า โดยแนะนำให้เปลี่ยนอุปกรณ์ที่อาจมีความเสี่ยง โดยเฉพาะเวอร์ชันปฏิบัติการ 5.1.3.001 ถึง 9.2.0.006 แม้ว่าจะมีการติดตั้งแพตช์แล้วก็ตาม หลายเดือนต่อมา หลักฐานจาก CISA ชี้ให้เห็นว่าการแสวงประโยชน์ยังคงมีอยู่อย่างต่อเนื่อง ทำให้เกิดคำถามเกี่ยวกับกลยุทธ์ของ Barracuda ในการแก้ไขปัญหาอย่างมีประสิทธิภาพ