Поделиться
Во взломанных и уже давно починенных почтовых шлюзах Barracuda нашелся затаившийся китайский бэкдор
В атаках на средства защиты E-mail Barracuda ESG семимесячной давности использовался еще один бэкдор. В общей сложности загружались сразу четыре вредоноса, один из которых не могли обнаружить два месяца. Атаки продолжались с октября 2022 г.
Четвертая находка
Агентство по защите инфраструктуры и информационной безопасности США (CISA) сообщило, что в ходе недавних атак на средства защиты e-mail Barracuda ESG (Email Security Gateway), использовалось еще одно вредоносное ПО, о котором ранее не было ничего известно. Речь идет о бэкдоре с условным названием Submarine. Он использовался в ходе атак на сети различных федеральных агентств, атакованных с помощью уязвимости нулевого дня.
В CISA предполагают, что атаки совершила хакерская группировка, связанная со спецслужбами Китая (UNC4841). Впервые компрометация шлюзов Barracuda была выявлена в мае 2023 г., но, по данным экспертов по кибербезопасности, атаки начались не позднее октября 2022 г. Изначально стало известно о критической уязвимости нулевого дня. Баг CVE-2023-2868 позволяет удаленно внедрять команды.
Вендор также сообщил, что на атакованные устройства устанавливаются ранее неизвестные вредоносы: Saltwater и SeaSpy, а также SeaSide — вредоносный инструмент, который позволяет устанавливать обратные шеллы для быстрого доступа извне.
Уже 20 мая 2023 г. Barracuda централизованно распространила на все свои доступные устройства патч, устранявший уязвимость, а 24 мая клиенты компании, чьи устройства были или могли быть взломаны, получили сообщение от вендора с рекомендацией проверить свои сетевые среды на предмет возможного вторжения.
Кроме того, вендор предложил бесплатно заменить все скомпрометированные устройства, что было достаточно неожиданным шагом.
Как пояснил изданию BleepingComputer менеджер компании Mandiant по реагированию на инциденты Джон Пэлмизэйно (JohnPalmisano), рекомендация заменить устройства была связана с тем, что в Barracuda не могли дать гарантий полного удаления вредоносов.
Устройства Barracuda используют по всему миру более 200 тыс. организаций, включая международные корпорации первого эшелона: Samsung, Mitsubishi и др.
Богатый набор. Не факт, что полный
Как выяснилось, изначально не удавалось даже вычислить весь «зоопарк» вредоносных программ, установленных в результате атак. Submarine обнаружили только сейчас.
В анализе CISA указывается, что Submarine — это новый персистентный бэкдор, который живет в базе данных SQL устройства ESG. «Submarine включает многочисленные артефакты, которые через многоступенчатый процесс обеспечивают запуск с максимальными привилегиями, персистентность, управление и очистку», — отмечается в документе.
Кроме того, судя по файлам MIME, полученным от жертв, вредонос переправляет операторам содержимое самих баз данных.
И Barracuda, и CISA рекомендуют провести интенсивный аудит всех устройств, находящихся в одной сети с ESG, поскольку Submarine — это как раз инструмент для их компрометации.
«В данной ситуации озадачивают сроки: почти семь месяцев кампания оставалась незамеченной, более двух месяцев прошло с момента обнаружения атак и до выявления еще одного компонента, возможно, самого серьезного, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Спрашивается, а все ли обнаружены? Созданием всех этих вредоносов занимались очень профессиональные программисты, прекрасно знавшие особенности целевых систем, и обладающие экспертной квалификацией в том, что касается обеспечения скрытности. Нельзя исключать, что BarracudaESG — не единственные устройства в их прицеле».
Короткая ссылка
