Whirlpool 惡意軟件追隨梭子魚的腳步

美國網絡安全和基礎設施安全機構（CISA）發現了複雜且長期的高級持續威脅（APT）攻擊，旨在利用梭子魚電子郵件安全網關（ESG）設備中先前的零日漏洞。 CISA 警報中詳細介紹了該漏洞，該漏洞被用來將惡意軟件有效負載（特別是 Seapsy 和 Whirlpool 後門）植入到受感染的設備上。

Seapsy 是一種持續且隱蔽的威脅，將自己偽裝成名為“BarracudaMailService”的合法 Barracuda 服務。該外觀允許威脅參與者在 ESG 設備上執行未經授權的命令。另一方面，Whirlpool 後門代表了攻擊者採用的一種新策略。它需要使用傳輸層安全 (TLS) 反向 shell 創建到命令和控制 (C2) 服務器的安全反向通信通道。

漩渦利用漏洞進行滲透

CISA 警報確認其獲得了惡意軟件樣本，包括 Seapsy 和 Whirlpool 後門。該設備的攻擊是通過利用 Barracuda ESG 漏洞實現的，該漏洞被識別為 CVE-2023-2868。此漏洞允許在運行版本 5.1.3.001 至 9.2.0.006 的 ESG 設備上遠程執行命令。

Whirlpool 以32 位可執行和可鏈接格式(ELF) 的形式出現，需要模塊中的兩個參數（C2 IP 和端口號）來建立TLS 反向shell，從而允許受感染系統與攻擊者控制的服務器之間進行安全通信。遺憾的是，傳達這些論點供 CISA 分析的特定模塊仍然不可用。

除了 Seapsy 和 Whirlpool 之外，Barracuda ESG 系統中的其他後門利用實例還包括 Saltwater、Submarine 和 Seaside。