新型后门恶意软件 Whirlpool 的曝光

关键要点

• 新发现的名为 Whirlpool 的后门恶意软件由黑客组织在针对 Barracuda 邮件安全网关设备的攻击中使用。
• Whirlpool 是由被怀疑与中国有关的黑客团体 UNC4841 部署的第三款恶意软件。
• 该恶意软件通过 TLS 反向 shell 建立通信，利用 C2 IP 和端口号。
• Barracuda 已针对受影响客户提供设备更换，表明此次攻击的严重性超出预期。

根据网络安全与基础设施安全局（CISA）的新报告，一种名为 Whirlpool 的后门恶意软件被曝光，最近该恶意软件在针对 被恶意网络团体部署。根据 CISA 的说法，Whirlpool 是在 Barracuda ESG 攻击中被怀疑与中国有关的黑客团体 UNC4841 使用的第三款恶意软件，此前该团体还使用过未知的后门 Saltwater 和 SeaSpy。

报告指出：“该恶意软件从一个模块中获取两个参数（C2 IP 和端口号），以建立一个传输层安全(TLS)反向 shell。”

CISA 最近还报告了另一种之前未知的后门，名为 Submarine，该后门在被攻击的 Barracuda ESG 设备的 SQL数据库中被发现，为攻击者提供了持久性、根访问权限以及指挥和控制通信的能力。Barracuda对该事件作出了反应，向受影响的客户提供了设备更换，这表明此次攻击的严重性远超以往的预期。