Whirlpool Malware

Natukoy ng United States Cybersecurity and Infrastructure Security Agency (CISA) ang mga pag-atake ng Advanced Persistent Threat (APT) na nagta-target sa dati nang hindi nabunyag na zero-day na kahinaan sa mga appliances ng Barracuda Email Security Gateway (ESG).

Ang pinag-uusapang kahinaan, gaya ng nakabalangkas sa isang alerto ng CISA, ay pinagsamantalahan upang ipakilala ang mga payload ng malware sa backdoor ng Seapsy at Whirlpool sa mga nakompromisong device. Iniulat ng CISA na nakuha nila ang apat na sample ng mga naka-deploy na banta ng malware, na kinabibilangan ng Seapsy at Whirlpool backdoors. Ang kompromiso ng device ay naganap sa pamamagitan ng mga banta ng aktor na gumagamit ng agwat sa seguridad sa Barracuda ESG. Ang kahinaan na ito, na sinusubaybayan bilang CVE-2023-2868, ay nagbibigay-daan sa pagpapatupad ng malayuang command sa mga ESG appliances na nagpapatakbo ng mga bersyon 5.1.3.001 hanggang 9.2.0.006.

Ang Whirlpool Malware ay Nagtatatag ng Backdoor Connection sa mga Nilabag na Sistema

Ang Seapsy ay isang kilala at matibay na salarin sa loob ng larangan ng mga pagkakasala ng Barracuda. Mahusay nitong itinago ang sarili bilang isang tunay na serbisyo ng Barracuda sa ilalim ng pangalang 'BarracudaMailService,' na nagbibigay ng mga banta sa mga aktor na magsagawa ng mga di-makatwirang utos sa ESG appliance. Sa isang kabaligtaran na tala, ang Whirlpool ay kumakatawan sa isang bagong nakakasakit na backdoor na ginagamit ng mga umaatake upang magtatag ng isang secure na koneksyon sa anyo ng isang Transport Layer Security (TLS) reverse shell pabalik sa Command-and-Control (C2) server.

Kapansin-pansin, ang Whirlpool ay nakilala bilang isang 32-bit na Executable at Linkable Format (ELF). Gumagana ito sa pamamagitan ng pagtanggap ng dalawang kritikal na argumento—C2 IP address at port number—mula sa isang partikular na module. Ang mga parameter na ito ay mahalaga sa pagsisimula ng pagtatatag ng nabanggit na Transport Layer Security (TLS) reverse shell.

Para mas malalim pa, ang TLS reverse shell method ay nagsisilbing technique na ginagamit sa cyberattacks, na gumagana upang magtatag ng isang secure at naka-encrypt na conduit ng komunikasyon sa pagitan ng isang nakompromisong system at isang server na nasa ilalim ng kontrol ng mga umaatake. Sa kasamaang palad, ang module na nagbibigay ng mahahalagang argumento para sa prosesong ito ay hindi magagamit para sa pagsusuri ng CISA.

Bilang karagdagan sa Seapsy at Whirlpool, natuklasan ang ilang iba pang mga backdoor strain na pinagsamantalahan sa mga kahinaan ng Barracuda ESG, kabilang ang Saltwater, Submarine, at Seaside.

Ang CVE-2023-2868 ay Naging Isang Mahalagang Isyu para sa Barracuda

Ang kahinaan na nakakaapekto sa ESG ay umunlad sa isang nakababahalang pagsubok para sa Barracuda, mabilis na nakatagpo ng isang pagdagsa sa mga pagsasamantala pagkatapos ng pagtuklas ng zero-day na kahinaan noong Oktubre 2022. Noong Mayo ng kasalukuyang taon, opisyal na kinilala ng kumpanya ang pagkakaroon ng kahinaan at agad na naglabas ng mga patch upang matugunan ang isyu.

Gayunpaman, pagkaraan lamang ng ilang araw, naglabas ang Barracuda ng isang babala na pahayag sa mga customer nito, na pinapayuhan silang palitan ang mga potensyal na masusugatan na appliances, partikular ang mga operating bersyon na 5.1.3.001 hanggang 9.2.0.006, kahit na nailapat ang mga patch. Kahit na mga buwan mamaya, ang ebidensya mula sa CISA ay nagmumungkahi na ang patuloy na pagsasamantala ay nagpapatuloy, na nag-iiwan ng mga katanungan tungkol sa diskarte ng Barracuda upang malutas ang bagay nang epektibo.