La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis a découvert un nouveau malware de porte dérobée nommé « Whirlpool » utilisé dans les attaques contre les appareils Barracuda Email Security Gateway (ESG) compromis.
En mai, Barracuda a révélé qu’un groupe de pirates présumés pro-Chine (UNC4841) avait violé les appliances ESG (Email Security Gateway) lors d’attaques de vol de données en utilisant la vulnérabilité zero-day CVE-2023-2868.
CVE-2023-2868 est une vulnérabilité d’injection de commande à distance de gravité critique (CVSS v3 : 9.8) qui affecte les versions 5.1.3.001 à 9.2.0.006 de Barracuda ESG.
Il a été découvert plus tard que les attaques ont commencé en octobre 2022 et ont été utilisées pour installer des logiciels malveillants auparavant inconnus nommés Saltwater et SeaSpy et un outil malveillant appelé SeaSide pour établir des shells inversés pour un accès à distance facile.
Au lieu de réparer les appareils avec des mises à jour logicielles, Barracuda a proposé gratuitement des appareils de remplacement à tous les clients concernés, indiquant que les attaques étaient plus dommageables qu’on ne le pensait initialement.
CISA a depuis partagé plus de détails sur un malware supplémentaire nommé Submariner qui a été déployé dans les attaques.
Nouveau logiciel malveillant Whirlpool
Hier, CISA a révélé la découverte d’un autre logiciel malveillant de porte dérobée nommé « Whirlpool » [VirusTotal] qui s’est avéré être utilisé dans les attaques contre les appareils Barracuda ESG.
La découverte de Whirlpool en fait la troisième porte dérobée distincte utilisée dans les attaques ciblant Barracuda ESG, illustrant une fois de plus pourquoi la société a choisi de remplacer les appareils plutôt que de les réparer avec un logiciel.
« Cet artefact est un fichier ELF 32 bits qui a été identifié comme une variante de logiciel malveillant nommée » WHIRLPOOL « , lit-on dans le rapport sur les logiciels malveillants Barracuda ESG mis à jour par CISA.
« Le malware prend deux arguments (IP C2 et numéro de port) d’un module pour établir un reverse shell Transport Layer Security (TLS) ».
« Le module qui transmet les arguments n’était pas disponible pour l’analyse. »
Des soumissions à VirusTotal, le malware Whirlpool semble s’être exécuté sous le processus ‘pd’.
Auparavant, le 30 mai 2023, Barracuda avait trouvé SeaSpy sur des appliances ESG piratées, une porte dérobée passive persistante qui se fait passer pour un service légitime, à savoir « BarracudaMailService », et exécute des commandes au nom des acteurs de la menace.
Le 28 juillet 2023, la CISA a mis en garde contre une porte dérobée jusque-là inconnue dans des appareils Barracuda piratés nommés « Submarine ».
Submarine réside dans la base de données SQL d’ESG, permettant l’accès root, la persistance et les communications de commande et de contrôle.
Les indicateurs de compromission et les règles YARA qui aident à détecter les infections par les quatre variantes nouvellement découvertes de SeaSpy et Whirlpool sont fournis dans un document séparé.
Si vous identifiez une activité suspecte sur votre appliance Barracuda ESG ou découvrez des signes de compromission par l’une des trois portes dérobées mentionnées, nous vous invitons à contacter le centre d’opérations 24h/24 et 7j/7 de CISA à l’adresse « [email protected] » pour vous aider dans leurs enquêtes.