Το κακόβουλο λογισμικό Whirlpool ακολουθεί τα βήματα του Barracuda

Η αμερικανική υπηρεσία κυβερνοασφάλειας και ασφάλειας υποδομής (CISA) εντόπισε εξελιγμένες και παρατεταμένες επιθέσεις Advanced Persistent Threat (APT) που στοχεύουν στην εκμετάλλευση μιας προηγούμενης ευπάθειας zero-day σε συσκευές Barracuda Security Gateway (ESG). Η ευπάθεια, όπως περιγράφεται λεπτομερώς σε μια ειδοποίηση CISA, αξιοποιήθηκε για την εμφύτευση ωφέλιμων φορτίων κακόβουλου λογισμικού, ειδικά τις κερκόπορτες Seapsy και Whirlpool, στις συσκευές που είχαν παραβιαστεί.

Το Seapsy λειτουργεί ως μια επίμονη και κρυφή απειλή, καμουφλαρίζοντας τον εαυτό της ως μια νόμιμη υπηρεσία Barracuda που ονομάζεται "BarracudaMailService". Αυτή η πρόσοψη επιτρέπει στους παράγοντες απειλής να εκτελούν μη εξουσιοδοτημένες εντολές στη συσκευή ESG. Από την άλλη πλευρά, το Whirlpool backdooring αντιπροσωπεύει μια νέα τακτική που χρησιμοποιούν οι επιτιθέμενοι. Συνεπάγεται τη δημιουργία ενός ασφαλούς καναλιού αντίστροφης επικοινωνίας σε έναν διακομιστή Command-and-Control (C2) χρησιμοποιώντας ένα αντίστροφο κέλυφος ασφάλειας επιπέδου μεταφοράς (TLS).

Το Whirlpool χρησιμοποιεί ευπάθεια για να διεισδύσει

Η ειδοποίηση της CISA επιβεβαιώνει ότι έλαβε δείγματα του κακόβουλου λογισμικού, συμπεριλαμβανομένων των κερκόπορτων Seapsy και Whirlpool. Ο συμβιβασμός της συσκευής διευκολύνθηκε με την εκμετάλλευση της ευπάθειας Barracuda ESG, η οποία προσδιορίζεται ως CVE-2023-2868. Αυτή η ευπάθεια επιτρέπει την απομακρυσμένη εκτέλεση εντολών σε συσκευές ESG που λειτουργούν τις εκδόσεις 5.1.3.001 έως 9.2.0.006.

Το Whirlpool, το οποίο εμφανίζεται ως μια εκτελέσιμη και συνδεόμενη μορφή 32 bit (ELF), απαιτεί δύο ορίσματα (C2 IP και αριθμός θύρας) από μια μονάδα για τη δημιουργία του αντίστροφου κελύφους TLS, επιτρέποντας την ασφαλή επικοινωνία μεταξύ του παραβιασμένου συστήματος και του ελεγχόμενου διακομιστή του εισβολέα. Δυστυχώς, η συγκεκριμένη ενότητα που μεταφέρει αυτά τα επιχειρήματα προς ανάλυση από την CISA παραμένει μη διαθέσιμη.

Εκτός από το Seapsy και το Whirlpool, άλλες περιπτώσεις εκμετάλλευσης κερκόπορτας στα συστήματα Barracuda ESG περιλαμβάνουν τα Saltwater, Submarine και Seaside.