惠而浦惡意軟件

美國網絡安全和基礎設施安全局（CISA）已發現針對梭子魚電子郵件安全網關（ESG）設備中先前未公開的零日漏洞的高級持續威脅（APT）攻擊。

正如 CISA 警報中所述，該漏洞被利用將 Seapsy 和 Whirlpool 後門惡意軟件負載引入到受感染的設備上。 CISA 報告稱，他們已成功獲取了已部署惡意軟件威脅的四個樣本，其中包括 Seapsy 和 Whirlpool 後門。威脅行為者利用梭子魚 ESG 中的安全漏洞，對設備進行了攻擊。該漏洞編號為 CVE-2023-2868，可在運行版本 5.1.3.001 至 9.2.0.006 的 ESG 設備上實現遠程命令執行。

Whirlpool 惡意軟件與違規系統建立後門連接

Seapsy 是 Barracuda 犯罪領域中眾所周知且持久的罪魁禍首。它巧妙地將自己偽裝成真正的 Barracuda 服務，名為“BarracudaMailService”，使威脅行為者能夠在 ESG 設備上執行任意命令。相比之下，Whirlpool 代表了一種新的攻擊性後門，攻擊者利用它以傳輸層安全 (TLS) 反向 shell 的形式建立與命令和控制 (C2) 服務器的安全連接。

值得注意的是，Whirlpool 被確定為 32 位可執行和可鏈接格式 (ELF)。它通過從特定模塊接收兩個關鍵參數（C2 IP 地址和端口號）來運行。這些參數對於啟動建立上述傳輸層安全 (TLS) 反向 shell 至關重要。

進一步深入研究，TLS 反向 shell 方法是網絡攻擊中使用的一種技術，其作用是在受感染的系統和攻擊者控制下的服務器之間建立安全且加密的通信管道。不幸的是，為該過程提供基本論據的模塊無法供 CISA 分析。

除了 Seapsy 和 Whirlpool 之外，還發現了 Barracuda ESG 漏洞中利用的其他一些後門菌株，包括 Saltwater、Submarine 和 Seaside。

CVE-2023-2868 已成為 Barracuda 的一個重大問題

影響 ESG 的漏洞已經演變成梭子魚的一個令人擔憂的考驗，自 2022 年 10 月發現零日漏洞後，漏洞利用量迅速激增。今年 5 月，該公司正式承認該漏洞的存在，並及時發布補丁來解決該問題。

然而，僅僅幾天后，梭子魚向其客戶發布了一份警告聲明，建議他們更換可能存在漏洞的設備，特別是那些運行版本 5.1.3.001 至 9.2.0.006 的設備，即使補丁已經應用。甚至幾個月後，來自 CISA 的證據表明，持續的攻擊仍然存在，這讓人們對梭子魚有效解決問題的策略產生了疑問。