Whirlpool-Malware

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat Advanced Persistent Threat (APT)-Angriffe identifiziert, die auf eine bisher unbekannte Zero-Day-Schwachstelle in den Barracuda Email Security Gateway (ESG)-Appliances abzielen.

Die fragliche Schwachstelle wurde, wie in einer CISA-Warnung beschrieben, ausgenutzt, um Seapsy- und Whirlpool-Backdoor-Malware-Payloads auf die kompromittierten Geräte einzuschleusen. CISA hat berichtet, dass es ihnen gelungen ist, vier Proben der eingesetzten Malware-Bedrohungen zu erhalten, darunter die Hintertüren Seapsy und Whirlpool. Die Kompromittierung des Geräts erfolgte dadurch, dass Bedrohungsakteure die Sicherheitslücke im Barracuda ESG ausnutzten. Diese als CVE-2023-2868 verfolgte Schwachstelle ermöglicht die Remote-Befehlsausführung auf ESG-Appliances mit den Versionen 5.1.3.001 bis 9.2.0.006.

Die Whirlpool-Malware stellt eine Backdoor-Verbindung zu angegriffenen Systemen her

Seapsy ist ein bekannter und langjähriger Täter im Bereich der Barracuda-Straftaten. Unter dem Namen „BarracudaMailService“ tarnt er sich geschickt als echter Barracuda-Dienst und ermöglicht es Bedrohungsakteuren, beliebige Befehle auf der ESG-Appliance auszuführen. Im Gegensatz dazu stellt Whirlpool eine neue offensive Hintertür dar, die von Angreifern genutzt wird, um eine sichere Verbindung in Form einer TLS-Reverse-Shell (Transport Layer Security) zurück zum Command-and-Control-Server (C2) herzustellen.

Insbesondere wurde Whirlpool als 32-Bit Executable and Linkable Format (ELF) identifiziert. Es funktioniert, indem es zwei wichtige Argumente – C2-IP-Adresse und Portnummer – von einem bestimmten Modul empfängt. Diese Parameter sind wichtig, um die Einrichtung der oben genannten TLS-Reverse-Shell (Transport Layer Security) einzuleiten.

Um näher darauf einzugehen: Die TLS-Reverse-Shell-Methode dient als Technik, die bei Cyberangriffen eingesetzt wird und dazu dient, eine sichere und verschlüsselte Kommunikationsverbindung zwischen einem kompromittierten System und einem Server unter der Kontrolle der Angreifer herzustellen. Leider stand das Modul, das die wesentlichen Argumente für diesen Prozess liefert, für die Analyse durch CISA nicht zur Verfügung.

Zusätzlich zu Seapsy und Whirlpool wurden eine Handvoll anderer Backdoor-Stämme entdeckt, die in Barracuda ESG-Schwachstellen ausgenutzt werden, darunter Saltwater, Submarine und Seaside.

CVE-2023-2868 hat sich für Barracuda zu einem erheblichen Problem entwickelt

Die Schwachstelle, die das ESG betrifft, hat sich für Barracuda zu einer besorgniserregenden Tortur entwickelt und erlebte nach der Entdeckung der Zero-Day-Schwachstelle im Oktober 2022 einen raschen Anstieg von Exploits. Im Mai des laufenden Jahres erkannte das Unternehmen die Existenz der Schwachstelle offiziell an hat umgehend Patches veröffentlicht, um das Problem zu beheben.

Nur wenige Tage später gab Barracuda jedoch eine Warnmeldung an seine Kunden heraus und empfahl ihnen, potenziell anfällige Appliances auszutauschen, insbesondere diejenigen mit den Versionen 5.1.3.001 bis 9.2.0.006, selbst wenn die Patches angewendet worden wären. Selbst Monate später deuten Beweise von CISA darauf hin, dass weiterhin Exploits stattfinden, was Fragen hinsichtlich der Strategie von Barracuda zur effektiven Lösung des Problems offen lässt.