Whirlpool Malware segue os passos de Barracuda

A agência de segurança cibernética e de infraestrutura dos EUA (CISA) identificou ataques sofisticados e prolongados de Ameaça Persistente Avançada (APT) destinados a explorar uma vulnerabilidade anterior de dia zero nos dispositivos ESG (gateway de segurança de e-mail) Barracuda. A vulnerabilidade, conforme detalhado em um alerta da CISA, foi aproveitada para implantar cargas de software mal-intencionadas, especificamente backdoors Seapsy e Whirlpool, nos dispositivos comprometidos.

O Seapsy funciona como uma ameaça persistente e oculta, camuflando-se como um serviço Barracuda legítimo chamado "BarracudaMailService". Essa fachada permite que agentes de ameaças executem comandos não autorizados no dispositivo ESG. Por outro lado, o backdooring da Whirlpool representa uma nova tática empregada pelos atacantes. Isso envolve a criação de um canal de comunicação reverso seguro para um servidor de comando e controle (C2) usando um shell reverso TLS (Transport Layer Security).

Whirlpool usa vulnerabilidade para se infiltrar

O alerta da CISA confirma que obteve amostras do software malicioso, incluindo os backdoors Seapsy e Whirlpool. O comprometimento do dispositivo foi facilitado pela exploração da vulnerabilidade Barracuda ESG, identificada como CVE-2023-2868. Esta vulnerabilidade permite a execução de comandos remotos em dispositivos ESG operando nas versões 5.1.3.001 a 9.2.0.006.

O Whirlpool, que aparece como um formato executável e vinculável de 32 bits (ELF), requer dois argumentos (IP C2 e número da porta) de um módulo para estabelecer o shell reverso TLS, permitindo uma comunicação segura entre o sistema comprometido e o servidor controlado pelo invasor. Lamentavelmente, continua indisponível o módulo específico que veicula esses argumentos para análise da CISA.

Além de Seapsy e Whirlpool, outras instâncias de exploração de backdoor nos sistemas Barracuda ESG abrangem Saltwater, Submarine e Seaside.