Whirlpool Malware sigue los pasos de Barracuda
La agencia de ciberseguridad y seguridad de la infraestructura (CISA) de EE. UU. ha identificado ataques avanzados persistentes (APT) sofisticados y prolongados destinados a explotar una vulnerabilidad anterior de día cero en los dispositivos de puerta de enlace de seguridad de correo electrónico (ESG) de Barracuda. La vulnerabilidad, como se detalla en una alerta de CISA, se aprovechó para implantar cargas útiles de software malicioso, específicamente puertas traseras Seapsy y Whirlpool, en los dispositivos comprometidos.
Seapsy funciona como una amenaza persistente y oculta, camuflándose como un servicio legítimo de Barracuda llamado "BarracudaMailService". Esta fachada permite a los actores de amenazas ejecutar comandos no autorizados en el dispositivo ESG. Por otro lado, la puerta trasera de Whirlpool representa una nueva táctica empleada por los atacantes. Implica la creación de un canal de comunicación inverso seguro a un servidor de comando y control (C2) mediante un shell inverso de seguridad de la capa de transporte (TLS).
Whirlpool utiliza la vulnerabilidad para infiltrarse
La alerta CISA confirma que obtuvo muestras del software malicioso, incluidas las puertas traseras Seapsy y Whirlpool. El compromiso del dispositivo se facilitó al explotar la vulnerabilidad Barracuda ESG, que se identifica como CVE-2023-2868. Esta vulnerabilidad permite la ejecución remota de comandos en dispositivos ESG con versiones operativas 5.1.3.001 a 9.2.0.006.
Whirlpool, que aparece como un formato ejecutable y enlazable (ELF) de 32 bits, requiere dos argumentos (C2 IP y número de puerto) de un módulo para establecer el shell inverso de TLS, lo que permite una comunicación segura entre el sistema comprometido y el servidor controlado por el atacante. Lamentablemente, el módulo específico que transmite estos argumentos para el análisis de CISA sigue sin estar disponible.
Además de Seapsy y Whirlpool, otros casos de explotación de puerta trasera dentro de los sistemas ESG de Barracuda abarcan Saltwater, Submarine y Seaside.