Вредоносное ПО Whirlpool следует по стопам Barracuda

Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) выявило изощренные и продолжительные атаки Advanced Persistent Threat (APT), направленные на использование предыдущей уязвимости нулевого дня в устройствах шлюза безопасности электронной почты Barracuda (ESG). Уязвимость, как указано в предупреждении CISA, была использована для внедрения полезной нагрузки вредоносного программного обеспечения, в частности, бэкдоров Seapsy и Whirlpool, на скомпрометированные устройства.

Seapsy функционирует как постоянная и скрытая угроза, маскируя себя под законную службу Barracuda под названием «BarracudaMailService». Этот фасад позволяет злоумышленникам выполнять несанкционированные команды на устройстве ESG. С другой стороны, бэкдор Whirlpool представляет собой новую тактику, используемую злоумышленниками. Это влечет за собой создание безопасного обратного канала связи с сервером управления и контроля (C2) с использованием обратной оболочки Transport Layer Security (TLS).

Whirlpool использует уязвимость для проникновения

Предупреждение CISA подтверждает получение образцов вредоносного ПО, в том числе бэкдоров Seapsy и Whirlpool. Компрометации устройства способствовала эксплуатация уязвимости Barracuda ESG, идентифицированной как CVE-2023-2868. Эта уязвимость делает возможным удаленное выполнение команд на устройствах ESG с версиями 5.1.3.001 — 9.2.0.006.

Whirlpool, который выглядит как 32-разрядный исполняемый и подключаемый формат (ELF), требует от модуля два аргумента (IP-адрес C2 и номер порта) для установки обратной оболочки TLS, обеспечивающей безопасную связь между скомпрометированной системой и контролируемым злоумышленником сервером. К сожалению, конкретный модуль, который передает эти аргументы для анализа CISA, остается недоступным.

Помимо Seapsy и Whirlpool, другие случаи использования бэкдора в системах Barracuda ESG включают Saltwater, Submarine и Seaside.