Whirlpool マルウェアが Barracuda の足跡をたどる

米国サイバーセキュリティ・インフラセキュリティ庁 (CISA) は、バラクーダ電子メール セキュリティ ゲートウェイ (ESG) デバイスの以前のゼロデイ脆弱性を悪用することを目的とした、高度かつ長期にわたる高度永続的脅威 (APT) 攻撃を特定しました。 CISA アラートで詳しく説明されているように、この脆弱性は、悪意のあるソフトウェア ペイロード、特に Seapsy および Whirlpool バックドアを侵害されたアプライアンスに埋め込むために利用されました。

Seapsy は持続的かつ隠蔽された脅威として機能し、「BarracudaMailService」という名前の正規の Barracuda サービスに偽装します。このファサードにより、攻撃者は ESG アプライアンス上で未承認のコマンドを実行できます。一方、Whirlpool バックドアは、攻撃者が採用する新しい戦術です。これには、トランスポート層セキュリティ (TLS) リバース シェルを使用して、コマンド アンド コントロール (C2) サーバーへの安全なリバース通信チャネルを作成することが含まれます。

Whirlpool は脆弱性を利用して侵入します

CISA の警告は、同社が Seapsy や Whirlpool バックドアを含む悪意のあるソフトウェアのサンプルを入手したことを確認しています。このデバイスの侵害は、CVE-2023-2868 として識別される Barracuda ESG の脆弱性を悪用することによって促進されました。この脆弱性により、バージョン 5.1.3.001 ～ 9.2.0.006 が動作する ESG アプライアンスでリモート コマンドの実行が可能になります。

Whirlpool は 32 ビットの実行可能リンク可能フォーマット (ELF) として表示され、TLS リバース シェルを確立するためにモジュールから 2 つの引数 (C2 IP とポート番号) を必要とします。これにより、侵害されたシステムと攻撃者の制御サーバー間の安全な通信が可能になります。残念ながら、CISA による分析のためにこれらの議論を伝える特定のモジュールは依然として利用できません。

Seapsy と Whirlpool に加えて、Barracuda ESG システム内のバックドア悪用の他の例には、海水、潜水艦、および海辺が含まれます。