Whirlpool Malware följer i Barracudas fotspår

Den amerikanska byrån för cybersäkerhet och infrastruktursäkerhet (CISA) har identifierat sofistikerade och långvariga Advanced Persistent Threat (APT)-attacker som syftar till att utnyttja en tidigare nolldagarssårbarhet i Barracudas e-postsäkerhetsgateway-enheter (ESG). Sårbarheten, som beskrivs i en CISA-varning, utnyttjades för att implantera skadliga programvaror, särskilt Seapsy och Whirlpool bakdörrar, på de komprometterade apparaterna.

Seapsy fungerar som ett ihållande och dolt hot, som kamouflerar sig själv som en legitim Barracuda-tjänst med namnet "BarracudaMailService." Denna fasad tillåter hotaktörer att utföra obehöriga kommandon på ESG-apparaten. Å andra sidan representerar Whirlpool-backdooring en ny taktik som används av angripare. Det innebär att skapa en säker omvänd kommunikationskanal till en Command-and-Control-server (C2) med hjälp av ett TLS (Transport Layer Security) omvänt skal.

Whirlpool använder sårbarhet för att infiltrera

CISA-varningen bekräftar att den erhållit prover av den skadliga programvaran, inklusive Seapsy och Whirlpools bakdörrar. Kompromissen med enheten underlättades genom att utnyttja Barracuda ESG-sårbarheten, som identifieras som CVE-2023-2868. Denna sårbarhet möjliggör körning av fjärrkommandon på ESG-apparater med versioner 5.1.3.001 till 9.2.0.006.

Whirlpool, som visas som ett 32-bitars körbart och länkbart format (ELF), kräver två argument (C2 IP och portnummer) från en modul för att etablera det omvända TLS-skalet, vilket möjliggör säker kommunikation mellan det komprometterade systemet och angriparens kontrollerade server. Tyvärr är den specifika modulen som förmedlar dessa argument för analys av CISA fortfarande otillgänglig.

Förutom Seapsy och Whirlpool omfattar andra fall av bakdörrsexploatering inom Barracuda ESG-system Saltwater, Submarine och Seaside.