惠而浦恶意软件

美国网络安全和基础设施安全局（CISA）已发现针对梭子鱼电子邮件安全网关（ESG）设备中先前未公开的零日漏洞的高级持续威胁（APT）攻击。

正如 CISA 警报中所述，该漏洞被利用将 Seapsy 和 Whirlpool 后门恶意软件负载引入到受感染的设备上。 CISA 报告称，他们已成功获取了已部署恶意软件威胁的四个样本，其中包括 Seapsy 和 Whirlpool 后门。威胁行为者利用梭子鱼 ESG 中的安全漏洞，对设备进行了攻击。该漏洞编号为 CVE-2023-2868，可在运行版本 5.1.3.001 至 9.2.0.006 的 ESG 设备上实现远程命令执行。

Whirlpool 恶意软件与违规系统建立后门连接

Seapsy 是 Barracuda 犯罪领域中众所周知且持久的罪魁祸首。它巧妙地将自己伪装成真正的 Barracuda 服务，名为“BarracudaMailService”，使威胁行为者能够在 ESG 设备上执行任意命令。相比之下，Whirlpool 代表了一种新的攻击性后门，攻击者利用它以传输层安全 (TLS) 反向 shell 的形式建立与命令和控制 (C2) 服务器的安全连接。

值得注意的是，Whirlpool 被确定为 32 位可执行和可链接格式 (ELF)。它通过从特定模块接收两个关键参数（C2 IP 地址和端口号）来运行。这些参数对于启动建立上述传输层安全 (TLS) 反向 shell 至关重要。

进一步深入研究，TLS 反向 shell 方法是网络攻击中使用的一种技术，其作用是在受感染的系统和攻击者控制下的服务器之间建立安全且加密的通信管道。不幸的是，为该过程提供基本论据的模块无法供 CISA 分析。

除了 Seapsy 和 Whirlpool 之外，还发现了 Barracuda ESG 漏洞中利用的其他一些后门菌株，包括 Saltwater、Submarine 和 Seaside。

CVE-2023-2868 已成为 Barracuda 的一个重大问题

影响 ESG 的漏洞已经演变成梭子鱼的一个令人担忧的考验，自 2022 年 10 月发现零日漏洞后，漏洞利用量迅速激增。今年 5 月，该公司正式承认该漏洞的存在，并及时发布补丁来解决该问题。

然而，仅仅几天后，梭子鱼向其客户发布了一份警告声明，建议他们更换可能存在漏洞的设备，特别是那些运行版本 5.1.3.001 至 9.2.0.006 的设备，即使补丁已经应用。甚至几个月后，来自 CISA 的证据表明，持续的攻击仍然存在，这让人们对梭子鱼有效解决问题的策略产生了疑问。