Whirlpool Malware følger i Barracudas fodspor
Det amerikanske cybersikkerheds- og infrastruktursikkerhedsagentur (CISA) har identificeret sofistikerede og langvarige Advanced Persistent Threat (APT)-angreb med det formål at udnytte en tidligere nul-dages sårbarhed i Barracuda e-mail-sikkerhedsgateway-enheder (ESG). Sårbarheden, som beskrevet i en CISA-alarm, blev udnyttet til at implantere ondsindet softwarenyttelast, specifikt Seapsy og Whirlpool bagdøre, på de kompromitterede apparater.
Seapsy fungerer som en vedvarende og skjult trussel, der camouflerer sig selv som en legitim Barracuda-tjeneste ved navn "BarracudaMailService." Denne facade giver trusselsaktører mulighed for at udføre uautoriserede kommandoer på ESG-apparatet. På den anden side repræsenterer Whirlpool-backdooring en frisk taktik, der anvendes af angribere. Det indebærer oprettelse af en sikker omvendt kommunikationskanal til en Command-and-Control (C2) server ved hjælp af en Transport Layer Security (TLS) omvendt shell.
Whirlpool bruger sårbarhed til at infiltrere
CISA-advarslen bekræfter, at den har fået prøver af den ondsindede software, inklusive Seapsy og Whirlpool bagdørene. Enhedens kompromittering blev lettet ved at udnytte Barracuda ESG-sårbarheden, som er identificeret som CVE-2023-2868. Denne sårbarhed muliggør fjernudførelse af kommandoer på ESG-apparater, der kører version 5.1.3.001 til 9.2.0.006.
Whirlpool, der fremstår som et 32-bit eksekverbart og linkbart format (ELF), kræver to argumenter (C2 IP og portnummer) fra et modul for at etablere TLS reverse shell, hvilket muliggør sikker kommunikation mellem det kompromitterede system og angriberens kontrollerede server. Desværre er det specifikke modul, der formidler disse argumenter til analyse af CISA, stadig utilgængeligt.
Ud over Seapsy og Whirlpool omfatter andre tilfælde af bagdørsudnyttelse i Barracuda ESG-systemer Saltwater, Submarine og Seaside.