Whirlpool 恶意软件追随梭子鱼的脚步

美国网络安全和基础设施安全机构（CISA）发现了复杂且长期的高级持续威胁（APT）攻击，旨在利用梭子鱼电子邮件安全网关（ESG）设备中先前的零日漏洞。 CISA 警报中详细介绍了该漏洞，该漏洞被用来将恶意软件有效负载（特别是 Seapsy 和 Whirlpool 后门）植入到受感染的设备上。

Seapsy 是一种持续且隐蔽的威胁，将自己伪装成名为“BarracudaMailService”的合法 Barracuda 服务。该外观允许威胁参与者在 ESG 设备上执行未经授权的命令。另一方面，Whirlpool 后门代表了攻击者采用的一种新策略。它需要使用传输层安全 (TLS) 反向 shell 创建到命令和控制 (C2) 服务器的安全反向通信通道。

漩涡利用漏洞进行渗透

CISA 警报确认其获得了恶意软件样本，包括 Seapsy 和 Whirlpool 后门。该设备的攻击是通过利用 Barracuda ESG 漏洞实现的，该漏洞被识别为 CVE-2023-2868。此漏洞允许在运行版本 5.1.3.001 至 9.2.0.006 的 ESG 设备上远程执行命令。

Whirlpool 以 32 位可执行和可链接格式 (ELF) 的形式出现，需要模块中的两个参数（C2 IP 和端口号）来建立 TLS 反向 shell，从而允许受感染系统与攻击者控制的服务器之间进行安全通信。遗憾的是，传达这些论点供 CISA 分析的特定模块仍然不可用。

除了 Seapsy 和 Whirlpool 之外，Barracuda ESG 系统中的其他后门利用实例还包括 Saltwater、Submarine 和 Seaside。