„Whirlpool“ kenkėjiška programa seka „Barracuda“ pėdomis

JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) nustatė sudėtingas ir užsitęsusias Advanced Persistent Threat (APT) atakas, kuriomis siekiama išnaudoti ankstesnį nulinės dienos pažeidžiamumą Barracuda el. pašto saugumo šliuzo (ESG) įrenginiuose. Pažeidžiamumas, kaip išsamiai aprašyta CISA įspėjime, buvo panaudotas kenkėjiškos programinės įrangos naudingosioms apkrovoms, ypač „Seapsy“ ir „Whirlpool“ užpakalinėms durims, implantuoti į pažeistus prietaisus.

Seapsy veikia kaip nuolatinė ir paslėpta grėsmė, maskuojanti kaip teisėta „Barracuda“ paslauga, pavadinta „BarracudaMailService“. Šis fasadas leidžia grėsmės veikėjams vykdyti neleistinas komandas ESG įrenginyje. Kita vertus, „Whirlpool backdooring“ yra nauja užpuolikų taktika. Tai reiškia, kad reikia sukurti saugų atvirkštinio ryšio kanalą į komandų ir valdymo (C2) serverį naudojant Transport Layer Security (TLS) atvirkštinį apvalkalą.

„Whirlpool“ naudoja pažeidžiamumą, kad įsiskverbtų

CISA įspėjimas patvirtina, kad jis gavo kenkėjiškos programinės įrangos pavyzdžius, įskaitant Seapsy ir Whirlpool užpakalines duris. Įrenginio kompromisą palengvino išnaudojus Barracuda ESG pažeidžiamumą, kuris identifikuojamas kaip CVE-2023-2868. Šis pažeidžiamumas leidžia nuotoliniu būdu vykdyti komandas ESG įrenginiuose, veikiančiuose nuo 5.1.3.001 iki 9.2.0.006.

Whirlpool, kuris pasirodo kaip 32 bitų vykdomasis ir susiejamas formatas (ELF), reikalauja dviejų argumentų (C2 IP ir prievado numerio) iš modulio, kad būtų sukurtas atvirkštinis TLS apvalkalas, leidžiantis saugiai susisiekti tarp pažeistos sistemos ir užpuoliko valdomo serverio. Deja, konkretus modulis, perteikiantis šiuos argumentus CISA analizei, lieka nepasiekiamas.

Be Seapsy ir Whirlpool, kiti užpakalinių durų eksploatavimo atvejai Barracuda ESG sistemose apima Saltwater, Submarine ir Seaside.