CISA: New Submarine Backdoor Used in Barracuda Campaign
2023/07/31 InfoSecurity — Barracuda セキュリティ・アプライアンスを標的として連邦政府ネットワークに侵入した中国の脅威アクターが、Submarine と呼ばれる新たなバックドアを、攻撃の一部で利用していたことが明らかにされた。この攻撃に関する Mandiant のオリジナル・レポートでは、このグループが使用した3種類のバックドア Seaside/Saltwater/Seaspy に焦点が当てられている。しかし、7月28日に CISA が、”永続性を確立し維持する” ためにの、新たなバックドア型マルウェアが配備されたことを明らかにした。
CISA は、「Submarine は、root 権限で実行される新たな永続型バックドアであり、標的となる Barracuda Email Security Gateway (ESG) アプライアンスの、SQL データベースに隠されていた。Submarine を構成するのは、SQL トリガー/シェルスクリプト/Linux デーモン用のロード・ライブラリなどの、複数のアーティファクトである。それらを組み合わせることで、root 権限での実行/永続化/Command and Control/クリーンアップなどが可能になる」と主張している。
CISA は、Submarineに関連するアーティファクトおよび、侵害された SQL データベースの内容について分析した。その結果として、このマルウェアは、横方向の移動と意味で、深刻な脅威をもたらすとしている。
先月に Barracuda は、影響を受けた ESG の全て顧客に対して、パッチの状態にかかわらず、代替デバイスを提供するという異例の決定を下している。その理由は、Mandiant と共同で追跡していた脅威グループが、異常に執拗だった点にある。
このキャンペーンを 5月19日に発見した Barracuda は、その2日後に脅威を封じ込め、修復するためのパッチをリリースした。しかし、中国の攻撃者である UNC4841 はマルウェアを切り替え、アクセスを維持するための、新たな持続的メカニズムを展開した。
さらに、UNC4841 が攻撃の頻度を高めたことで、Barracuda は新しいハードウェアを提供するという対応を余儀なくされた。
UNC4841 によるイニシャル侵害は、Barracuda ESG Ver 5.1.3.001-9.2.0.006 に影響を及ぼす、リモート・コマンド・インジェクションのゼロデイ脆弱性 CVE-2023-2868 であり、それを介して被害者のネットワークにアクセスしていた。
2023/07/28 の「新種のマルウェア Submarine:Barracuda ESG のゼロデイ CVE-2023-2868 を悪用」と内容が被ってしまいました。よろしければ、Barracuda で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.