A Whirlpool malware a Barracuda nyomában jár
Az amerikai kiberbiztonsági és infrastruktúra-biztonsági ügynökség (CISA) kifinomult és hosszan tartó Advanced Persistent Threat (APT) támadásokat azonosított, amelyek célja a Barracuda e-mail biztonsági átjáró (ESG) korábbi nulladik napi sebezhetőségének kihasználása volt. A sebezhetőséget, amint azt a CISA riasztás is részletezi, arra használták fel, hogy rosszindulatú szoftvereket, különösen Seapsy és Whirlpool hátsó ajtókat ültessenek be a feltört készülékekbe.
A Seapsy tartós és rejtett fenyegetésként funkcionál, és legitim Barracuda-szolgáltatásként álcázza magát, „BarracudaMailService” néven. Ez a homlokzat lehetővé teszi a fenyegetés szereplői számára, hogy jogosulatlan parancsokat hajtsanak végre az ESG készüléken. Másrészt a Whirlpool backdooring a támadók által alkalmazott új taktikát képviseli. Ez azt jelenti, hogy biztonságos fordított kommunikációs csatornát kell létrehozni a Command-and-Control (C2) kiszolgálóhoz egy Transport Layer Security (TLS) fordított shell használatával.
A Whirlpool sebezhetőséget használ a beszivárgáshoz
A CISA riasztás megerősíti, hogy mintákat kapott a rosszindulatú szoftverekből, beleértve a Seapsy és a Whirlpool hátsó ajtókat. Az eszköz kompromittálását a Barracuda ESG sebezhetőségének kihasználása segítette elő, amelyet CVE-2023-2868-ként azonosítottak. Ez a biztonsági rés lehetővé teszi a parancsok távoli végrehajtását az 5.1.3.001 és 9.2.0.006 közötti verziójú ESG készülékeken.
A Whirlpool, amely 32 bites végrehajtható és összekapcsolható formátumként (ELF) jelenik meg, két argumentumot (C2 IP és portszám) igényel egy modultól a TLS fordított shell létrehozásához, lehetővé téve a biztonságos kommunikációt a feltört rendszer és a támadó által vezérelt szerver között. Sajnálatos módon továbbra sem érhető el az a speciális modul, amely ezeket az érveket a CISA elemzéséhez továbbítja.
A Seapsy és a Whirlpool mellett a Barracuda ESG rendszereken belül a hátsó ajtók kiaknázásának egyéb esetei a Saltwater, a Submarine és a Seaside.