Złośliwe oprogramowanie Whirlpool idzie w ślady Barracudy

Amerykańska agencja bezpieczeństwa cybernetycznego i infrastruktury (CISA) zidentyfikowała wyrafinowane i długotrwałe ataki Advanced Persistent Threat (APT), których celem jest wykorzystanie wcześniejszej luki zero-day w urządzeniach Barracuda Email Security Gateway (ESG). Luka, jak wyszczególniono w ostrzeżeniu CISA, została wykorzystana do wszczepiania szkodliwego oprogramowania, w szczególności backdoorów Seapsy i Whirlpool, na zaatakowane urządzenia.

Seapsy działa jako uporczywe i ukryte zagrożenie, podszywając się pod legalną usługę Barracuda o nazwie „BarracudaMailService”. Ta fasada umożliwia cyberprzestępcom wykonywanie nieautoryzowanych poleceń na urządzeniu ESG. Z drugiej strony backdooring firmy Whirlpool to nowa taktyka stosowana przez osoby atakujące. Wiąże się to z utworzeniem bezpiecznego odwrotnego kanału komunikacyjnego do serwera Command-and-Control (C2) przy użyciu odwrotnej powłoki Transport Layer Security (TLS).

Whirlpool wykorzystuje lukę do infiltracji

Alert CISA potwierdza, że pozyskano próbki złośliwego oprogramowania, w tym backdoora Seapsy i Whirlpool. Kompromitacja urządzenia została ułatwiona dzięki wykorzystaniu luki Barracuda ESG, która jest identyfikowana jako CVE-2023-2868. Ta luka umożliwia zdalne wykonanie polecenia na urządzeniach ESG działających w wersjach od 5.1.3.001 do 9.2.0.006.

Whirlpool, który pojawia się jako 32-bitowy wykonywalny i możliwy do połączenia format (ELF), wymaga dwóch argumentów (adres IP C2 i numer portu) z modułu, aby ustanowić odwrotną powłokę TLS, umożliwiając bezpieczną komunikację między zaatakowanym systemem a serwerem kontrolowanym przez atakującego. Niestety, konkretny moduł, który przekazuje te argumenty do analizy przez CISA, pozostaje niedostępny.

Oprócz Seapsy i Whirlpool, inne przypadki wykorzystania backdoora w systemach Barracuda ESG obejmują Saltwater, Submarine i Seaside.