Βρέθηκε νέο κακόβουλο λογισμικό Submarine σε παραβιασμένες συσκευές Barracuda ESG
Η CISA λέει ότι νέο κακόβουλο λογισμικό γνωστό ως Submarine χρησιμοποιήθηκε για την κερκόπορτα των συσκευών Barracuda ESG (Email
Security
Gateway) εκμεταλλευόμενος ένα σφάλμα zero-day που έχει πλέον επιδιορθωθεί.
Μια ύποπτη ομάδα χάκερ υπέρ της Κίνας (UNC4841) ανέπτυξε την κερκόπορτα σε μια σειρά από επιθέσεις κλοπής δεδομένων που εντοπίστηκαν τον Μάιο αλλά ήταν ενεργές τουλάχιστον από τον Οκτώβριο του 2022.
Ο Barracuda αποκάλυψε ότι οι επιτιθέμενοι εκμεταλλεύτηκαν το
CVE-2023-2868
Έγχυση απομακρυσμένης εντολής zero-day για απόρριψη προηγουμένως άγνωστου κακόβουλου λογισμικού που ονομάστηκε Saltwater και SeaSpy και ένα κακόβουλο εργαλείο που ονομάζεται SeaSide για τη δημιουργία αντίστροφων κελύφους για εύκολη απομακρυσμένη πρόσβαση.
Τον περασμένο μήνα, η Barracuda ακολούθησε μια αντισυμβατική προσέγγιση και πρόσφερε συσκευές αντικατάστασης σε όλους τους επηρεαζόμενους πελάτες χωρίς χρέωση.
Αυτή η απόφαση ήρθε μετά την έκδοση μιας προειδοποίησης ότι όλες οι παραβιασμένες συσκευές ESG (Email Security Gateway) χρειάζονταν άμεση αντικατάσταση αντί απλώς να επαναλαμβάνονται με νέο υλικολογισμικό.
Ο διευθυντής της Mandiant Incident Response John Palmisano είπε στην BleepingComputer εκείνη την εποχή ότι αυτό συνιστούσε προσεκτικά, καθώς η εταιρεία δεν μπορούσε να διασφαλίσει την πλήρη αφαίρεση του κακόβουλου λογισμικού.
Βρέθηκε άγνωστη κερκόπορτα σε παραβιασμένες συσκευές ESG
Την Παρασκευή, CISA
αποκάλυψε
ότι ένα άλλο νέο στέλεχος κακόβουλου λογισμικού γνωστό ως Submarine βρέθηκε στις παραβιασμένες συσκευές, μια κερκόπορτα πολλαπλών συστατικών που χρησιμοποιείται για τον εντοπισμό διαφυγής, την επιμονή και τη συλλογή δεδομένων.
“Το SUBMARINE είναι μια νέα επίμονη κερκόπορτα που ζει σε μια βάση δεδομένων δομημένης γλώσσας ερωτημάτων (SQL) στη συσκευή ESG. Το SUBMARINE περιλαμβάνει πολλά τεχνουργήματα που, σε μια διαδικασία πολλαπλών βημάτων, επιτρέπουν την εκτέλεση με δικαιώματα root, επιμονή, εντολή και έλεγχος και εκκαθάριση », ανέφερε η CISA στο α
αναφορά ανάλυσης κακόβουλου λογισμικού
δημοσιεύθηκε την Παρασκευή.
“Εκτός από το SUBMARINE, η CISA έλαβε συσχετισμένα αρχεία συνημμένων επεκτάσεων αλληλογραφίας πολλαπλών χρήσεων Διαδικτύου (MIME) από το θύμα. Αυτά τα αρχεία περιείχαν τα περιεχόμενα της παραβιασμένης βάσης δεδομένων SQL, η οποία περιλάμβανε ευαίσθητες πληροφορίες.”
Μετά τις επιθέσεις, ο Barracuda παρείχε καθοδήγηση στους πελάτες που επηρεάστηκαν, συμβουλεύοντάς τους να ελέγξουν διεξοδικά το περιβάλλον τους για να επαληθεύσουν ότι οι εισβολείς δεν είχαν παραβιάσει άλλες συσκευές στα δίκτυά τους.
Αυτή η συμβουλή ευθυγραμμίζεται με τη σημερινή προειδοποίηση της CISA, η οποία λέει ότι «το κακόβουλο λογισμικό αποτελεί σοβαρή απειλή για την πλευρική κίνηση».
Όσοι αντιμετωπίζουν ύποπτες δραστηριότητες που συνδέονται με το κακόβουλο λογισμικό Submarine και τις επιθέσεις Barracuda ESG προτρέπονται να επικοινωνήσουν με το Κέντρο Επιχειρήσεων της CISA 24/7 στη διεύθυνση
Η Barracuda λέει ότι οι υπηρεσίες και τα προϊόντα της χρησιμοποιούνται από περισσότερους από 200.000 οργανισμούς παγκοσμίως, συμπεριλαμβανομένων εκείνων υψηλού προφίλ όπως η
Samsung
, η Delta Airlines, η Kraft Heinz και η Mitsubishi.
