美国网络安全和基础设施安全局（CISA）发现名为“Whirlpool”的后门恶意软件用于攻击受损的梭子鱼电子邮件安全网关（ESG）设备。

今年5月，梭子鱼透露，一个疑似亲中国的黑客组织（UNC4841） 利用CVE-2023-2868 零日漏洞 进行数据盗窃攻击， 破坏了ESG（电子邮件安全网关）设备。

CVE-2023-2868 是一个严重程度极高（CVSS v3：9.8）的远程命令注入漏洞，影响 Barracuda ESG 版本 5.1.3.001 至 9.2.0.006。

后来发现，这些攻击 始于 2022 年 10 月 ，用于 安装以前未知的 名为 Saltwater 和 SeaSpy 的恶意软件，以及名为 SeaSide 的恶意工具，用于建立反向 shell，以便轻松进行远程访问。

梭子鱼没有通过软件更新来修复设备，而是 免费向所有受影响的客户提供 更换设备，这表明这些攻击的破坏性比最初想象的更大。

此后，CISA 分享了有关  攻击中部署的名为 Submariner 的其他恶意软件的更多详细信息。

漩涡恶意软件

昨天，CISA 披露了另一个名为“Whirlpool”[ VirusTotal ]的后门恶意软件的发现，该恶意软件被发现用于攻击 Barracuda ESG 设备。

Whirlpool 的发现使其成为针对 Barracuda ESG 的攻击中使用的第三个不同的后门，再次说明了为什么该公司选择更换设备而不是用软件修复它们。

CISA 更新的梭子鱼 ESG 恶意软件报告称，“该工件是一个 32 位 ELF 文件，已被识别为名为“WHIRLPOOL”的恶意软件变种 。

“该恶意软件从模块中获取两个参数（C2 IP 和端口号）来建立传输层安全 (TLS) 反向 shell。”

“传递参数的模块无法用于分析。”

从向 VirusTotal 提交的内容来看，Whirlpool 恶意软件似乎在“ pd ”进程下运行。

此前，梭子鱼于 2023 年 5 月 30 日在被黑的 ESG 设备上发现了 SeaSpy，这是一个持久的被动后门，伪装成合法服务，即“BarracudaMailService”，并代表威胁行为者运行命令。

2023 年 7 月 28 日，CISA 警告称，被入侵的 Barracuda 设备中存在一个先前未知的后门，名为“Submarine”。

Submarine 驻留在 ESG 的 SQL 数据库中，允许 root 访问、持久性以及命令和控制通信。

另一份文件中提供了妥协指标和 YARA 规则，可帮助检测 SeaSpy 和 Whirlpool 四种新发现的变种的感染。

如果您在梭子鱼 ESG 设备上发现可疑活动，或发现上述三个后门中的任何一个受到损害的迹象，我们建议您通过“report@cisa.gov”联系 CISA 的 24/7 运营中心，以帮助他们进行调查。