Whirlpool 惡意軟件追隨梭子魚的腳步
美國網絡安全和基礎設施安全機構(CISA)發現了複雜且長期的高級持續威脅(APT)攻擊,旨在利用梭子魚電子郵件安全網關(ESG)設備中先前的零日漏洞。 CISA 警報中詳細介紹了該漏洞,該漏洞被用來將惡意軟件有效負載(特別是 Seapsy 和 Whirlpool 後門)植入到受感染的設備上。
Seapsy 是一種持續且隱蔽的威脅,將自己偽裝成名為“BarracudaMailService”的合法 Barracuda 服務。該外觀允許威脅參與者在 ESG 設備上執行未經授權的命令。另一方面,Whirlpool 後門代表了攻擊者採用的一種新策略。它需要使用傳輸層安全 (TLS) 反向 shell 創建到命令和控制 (C2) 服務器的安全反向通信通道。
漩渦利用漏洞進行滲透
CISA 警報確認其獲得了惡意軟件樣本,包括 Seapsy 和 Whirlpool 後門。該設備的攻擊是通過利用 Barracuda ESG 漏洞實現的,該漏洞被識別為 CVE-2023-2868。此漏洞允許在運行版本 5.1.3.001 至 9.2.0.006 的 ESG 設備上遠程執行命令。
Whirlpool 以32 位可執行和可鏈接格式(ELF) 的形式出現,需要模塊中的兩個參數(C2 IP 和端口號)來建立TLS 反向shell,從而允許受感染系統與攻擊者控制的服務器之間進行安全通信。遺憾的是,傳達這些論點供 CISA 分析的特定模塊仍然不可用。
除了 Seapsy 和 Whirlpool 之外,Barracuda ESG 系統中的其他後門利用實例還包括 Saltwater、Submarine 和 Seaside。