Whirlpool 恶意软件追随梭子鱼的脚步
美国网络安全和基础设施安全机构(CISA)发现了复杂且长期的高级持续威胁(APT)攻击,旨在利用梭子鱼电子邮件安全网关(ESG)设备中先前的零日漏洞。 CISA 警报中详细介绍了该漏洞,该漏洞被用来将恶意软件有效负载(特别是 Seapsy 和 Whirlpool 后门)植入到受感染的设备上。
Seapsy 是一种持续且隐蔽的威胁,将自己伪装成名为“BarracudaMailService”的合法 Barracuda 服务。该外观允许威胁参与者在 ESG 设备上执行未经授权的命令。另一方面,Whirlpool 后门代表了攻击者采用的一种新策略。它需要使用传输层安全 (TLS) 反向 shell 创建到命令和控制 (C2) 服务器的安全反向通信通道。
漩涡利用漏洞进行渗透
CISA 警报确认其获得了恶意软件样本,包括 Seapsy 和 Whirlpool 后门。该设备的攻击是通过利用 Barracuda ESG 漏洞实现的,该漏洞被识别为 CVE-2023-2868。此漏洞允许在运行版本 5.1.3.001 至 9.2.0.006 的 ESG 设备上远程执行命令。
Whirlpool 以 32 位可执行和可链接格式 (ELF) 的形式出现,需要模块中的两个参数(C2 IP 和端口号)来建立 TLS 反向 shell,从而允许受感染系统与攻击者控制的服务器之间进行安全通信。遗憾的是,传达这些论点供 CISA 分析的特定模块仍然不可用。
除了 Seapsy 和 Whirlpool 之外,Barracuda ESG 系统中的其他后门利用实例还包括 Saltwater、Submarine 和 Seaside。