Il malware Whirlpool segue le orme di Barracuda

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha identificato attacchi APT (Advanced Persistent Threat) sofisticati e prolungati volti a sfruttare una precedente vulnerabilità zero-day nei dispositivi ESG (Email Security Gateway) Barracuda. La vulnerabilità, come dettagliato in un avviso CISA, è stata sfruttata per impiantare payload di software dannoso, in particolare backdoor Seapsy e Whirlpool, sulle appliance compromesse.

Seapsy funziona come una minaccia persistente e nascosta, camuffandosi come un legittimo servizio Barracuda chiamato "BarracudaMailService". Questa facciata consente agli attori delle minacce di eseguire comandi non autorizzati sull'appliance ESG. D'altra parte, il backdooring di Whirlpool rappresenta una nuova tattica utilizzata dagli aggressori. Implica la creazione di un canale di comunicazione inverso sicuro verso un server Command-and-Control (C2) utilizzando una shell inversa TLS (Transport Layer Security).

Whirlpool sfrutta la vulnerabilità per infiltrarsi

L'avviso CISA conferma di aver ottenuto campioni del software dannoso, comprese le backdoor Seapsy e Whirlpool. La compromissione del dispositivo è stata facilitata sfruttando la vulnerabilità Barracuda ESG, identificata come CVE-2023-2868. Questa vulnerabilità consente l'esecuzione di comandi remoti su appliance ESG che utilizzano le versioni da 5.1.3.001 a 9.2.0.006.

Whirlpool, che appare come un formato eseguibile e collegabile a 32 bit (ELF), richiede due argomenti (IP C2 e numero di porta) da un modulo per stabilire la shell inversa TLS, consentendo una comunicazione sicura tra il sistema compromesso e il server controllato dall'attaccante. Purtroppo, il modulo specifico che veicola questi argomenti per l'analisi da parte del CISA rimane non disponibile.

Oltre a Seapsy e Whirlpool, altri casi di sfruttamento backdoor all'interno dei sistemi Barracuda ESG comprendono Saltwater, Submarine e Seaside.