Whirlpool Malware følger i Barracudas fotspor

Det amerikanske byrået for cybersikkerhet og infrastruktursikkerhet (CISA) har identifisert sofistikerte og langvarige Advanced Persistent Threat (APT)-angrep rettet mot å utnytte en tidligere null-dagers sårbarhet i Barracuda e-postsikkerhetsgateway-enheter (ESG). Sårbarheten, som beskrevet i et CISA-varsel, ble utnyttet til å implantere skadelig programvarenyttelast, spesielt Seapsy og Whirlpool bakdører, på de kompromitterte enhetene.

Seapsy fungerer som en vedvarende og skjult trussel, og kamuflerer seg selv som en legitim Barracuda-tjeneste kalt "BarracudaMailService." Denne fasaden lar trusselaktører utføre uautoriserte kommandoer på ESG-enheten. På den annen side representerer Whirlpool-bakdøring en fersk taktikk brukt av angripere. Det innebærer å opprette en sikker omvendt kommunikasjonskanal til en Command-and-Control (C2) server ved å bruke et Transport Layer Security (TLS) omvendt skall.

Whirlpool bruker sårbarhet for å infiltrere

CISA-varselet bekrefter at det har skaffet seg prøver av den skadelige programvaren, inkludert Seapsy og Whirlpool-bakdørene. Kompromitteringen av enheten ble forenklet ved å utnytte Barracuda ESG-sårbarheten, som er identifisert som CVE-2023-2868. Dette sikkerhetsproblemet muliggjør ekstern kjøring av kommandoer på ESG-enheter som opererer versjoner 5.1.3.001 til 9.2.0.006.

Whirlpool, som vises som et 32-biters kjørbart og linkbart format (ELF), krever to argumenter (C2 IP og portnummer) fra en modul for å etablere TLS omvendt skall, som tillater sikker kommunikasjon mellom det kompromitterte systemet og angriperens kontrollerte server. Dessverre er den spesifikke modulen som formidler disse argumentene for analyse av CISA fortsatt utilgjengelig.

I tillegg til Seapsy og Whirlpool, omfatter andre tilfeller av bakdørsutnyttelse i Barracuda ESG-systemer Saltwater, Submarine og Seaside.