Шкідливе програмне забезпечення Whirlpool

Агентство з кібербезпеки та безпеки інфраструктури США (CISA) виявило атаки Advanced Persistent Threat (APT), спрямовані на раніше нерозкриту вразливість нульового дня в пристроях Barracuda Email Security Gateway (ESG).

Уразливість, про яку йде мова, як зазначено в попередженні CISA, була використана для впровадження бекдор-шкідливих програм Seapsy і Whirlpool на скомпрометовані пристрої. CISA повідомила, що їм вдалося отримати чотири зразки розгорнутих шкідливих програм, які включають бекдори Seapsy і Whirlpool. Компрометація пристрою сталася через те, що зловмисники скористалися прогалиною безпеки в Barracuda ESG. Ця вразливість, яка відстежується як CVE-2023-2868, дає змогу віддалено виконувати команди на пристроях ESG із версіями від 5.1.3.001 до 9.2.0.006.

Зловмисне програмне забезпечення Whirlpool встановлює бекдор-підключення до зламаних систем

Seapsy є добре відомим і постійним винуватцем у сфері правопорушень Barracuda. Він вміло маскується під справжню службу Barracuda під назвою «BarracudaMailService», дозволяючи загрозливим особам виконувати довільні команди на пристрої ESG. На контрастній ноті Whirlpool представляє новий наступальний бекдор, який використовують зловмисники для встановлення безпечного з’єднання у формі зворотної оболонки TLS (Transport Layer Security) із сервером командування та керування (C2).

Примітно, що Whirlpool був визначений як 32-розрядний виконуваний і компонований формат (ELF). Він працює шляхом отримання двох критичних аргументів — IP-адреси C2 і номера порту — від певного модуля. Ці параметри є важливими для початку встановлення вищезгаданої зворотної оболонки безпеки транспортного рівня (TLS).

Щоб дізнатися більше, метод зворотної оболонки TLS служить технікою, яка використовується в кібератаках, функціонуючи для встановлення безпечного та зашифрованого каналу зв’язку між скомпрометованою системою та сервером під контролем зловмисників. На жаль, модуль, який надає основні аргументи для цього процесу, не був доступний для аналізу CISA.

Крім Seapsy і Whirlpool, було виявлено кілька інших бекдорів, які використовувалися в уразливостях Barracuda ESG, зокрема Saltwater, Submarine і Seaside.

CVE-2023-2868 перетворився на серйозну проблему для Barracuda

Уразливість, що впливає на ESG, перетворилася на важке випробування для Barracuda, яка швидко зіткнулася зі сплеском експлойтів після виявлення вразливості нульового дня в жовтні 2022 року. У травні поточного року компанія офіційно визнала існування вразливості та миттєво випустили патчі для вирішення проблеми.

Однак через кілька днів Barracuda опублікувала застереження для своїх клієнтів, порадивши їм замінити потенційно вразливі пристрої, зокрема робочі версії від 5.1.3.001 до 9.2.0.006, навіть якщо виправлення були застосовані. Навіть через кілька місяців дані CISA свідчать про те, що експлойти тривають, залишаючи питання щодо стратегії Barracuda щодо ефективного вирішення проблеми.