Новости SUBMARINE – бэкдор, который стал сенсацией в глубинах шлюза Barracuda ESG

[NewsMaker]

Агентство CISA раскрыло подробности о новом бэкдоре, который незаметно отбирает у пользователя компьютер.

---

---

Агентство США по кибербезопасности и защите инфраструктуры ( CISA ) Для просмотра ссылки Войди или Зарегистрируйся о новом бэкдоре SUBMARINE, который был развёрнут в рамках Для просмотра ссылки Войди или Зарегистрируйся устройств Barracuda Email Security Gateway ( ESG ).

SUBMARINE включает в себя несколько артефактов, в том числе триггер SQL, сценарии оболочки и загруженную библиотеку для демона Linux, которые вместе обеспечивают получение root-прав, постоянство, управление и контроль, а также очистку.

SUBMARINE (DEPTHCHARGE) выполняется с root-привилегиями в SQL-базе данных на устройстве ESG и получает зашифрованные команды, а также скрывает свои ответы в SMTP-трафике. Агентство также заявило, что проанализировало артефакты, связанные с SUBMARINE, которые включали содержимое скомпрометированной базы данных SQL. Специалисты CISA отмечают, что такие действия позволяют хакерам выполнять боковое перемещение (Lateral Movement).

Ранее Barracuda Networks Для просмотра ссылки Войди или Зарегистрируйся , что недавно исправленная уязвимость нулевого дня в шлюзе Email Security Gateway (ESG) с октября 2022 года использовалась злоумышленниками для взлома устройств. Критическая уязвимость CVE-2023-2868 (CVSS: 9,8), активно использовалась в течение как минимум 7 месяцев до ее обнаружения для получения несанкционированного доступа к подмножеству ESG и кражи данных с них.

SUBMARINE является четвёртым вредоносным ПО, которое использовалось в атаках на Barracuda ESG. Предыдущие 3 бэкдора, Для просмотра ссылки Войди или Зарегистрируйся , использовались с октября 2022 года для эксфильтрации данных.