CISA: ハッキングされたバラクーダ ESG アプライアンスで新たな Submarine マルウェアが発見

CISAは、Submarineとして知られる新たなマルウェアが、パッチが適用されたゼロデイバグを悪用し、バラクーダESG（電子メールセキュリティゲートウェイ）アプライアンスをバックドアするために使用されたと発表した。

親中派と思われるハッカーグループ (UNC4841) は、 5 月に検出された一連のデータ盗難攻撃でバックドアを導入しましたが、 少なくとも 2022 年 10 月から活動を続けていました。

バラクーダ社は、攻撃者がCVE-2023-2868リモート コマンド インジェクション ゼロデイを悪用して、Saltwater および SeaSpy と呼ばれるこれまで知られていなかったマルウェアと、リモート アクセスを容易にするリバース シェルを確立する SeaSide と呼ばれる悪意のあるツールを投下したことを明らかにしました。

先月、バラクーダは型破りなアプローチを採用し、影響を受けるすべての顧客に交換用デバイスを無料で提供しました。

この決定は、侵害されたすべての ESG (電子メール セキュリティ ゲートウェイ) アプライアンスを単に新しいファームウェアでイメージし直すのではなく、直ちに交換する必要があるという警告を発した後に行われました。

マンディアントのインシデント対応マネージャー、ジョン・パルミサーノ氏は当時、同社がマルウェアを完全に削除することを保証できないため、これは慎重な理由から推奨されたものだと語った。

ハッキングされたESGアプライアンスで未知のバックドアが発見

金曜日、CISA は、Submarine として知られる別の新しいマルウェア株が、侵害されたアプライアンス上で発見されたことを明らかにしました。これは、検出回避、永続化、およびデータ収集に使用されるマルチコンポーネントのバックドアです。

「SUBMARINE は、ESG アプライアンスの構造化照会言語 (SQL) データベースに存在する新しい永続的なバックドアです。SUBMARINE は、複数のステップのプロセスで、root 権限、永続性、コマンドと制御、およびクリーンアップによる実行を可能にする複数のアーティファクトで構成されています」とCISAは金曜日に発表したマルウェア分析報告書の中で述べた。

「SUBMARINE に加え、CISA は被害者から関連する MultiPurpose Internet Mail Extensions (MIME) 添付ファイルも入手しました。これらのファイルには、機密情報を含む侵害された SQL データベースの内容が含まれていました。」

攻撃を受けて、バラクーダは影響を受けた顧客にガイダンスを提供し、環境を徹底的に見直し、攻撃者がネットワーク内の他のデバイスを侵害していないことを確認するようアドバイスした。

このアドバイスは、「マルウェアは水平方向の移動に対して深刻な脅威をもたらす」という CISA の今日の警告と一致しています。

Submarine マルウェアと Barracuda ESG 攻撃に関連する不審な活動に遭遇した場合は、CISA の 24 時間年中無休のオペレーション センター(Report@cisa.gov ) に連絡するよう勧められます。

バラクーダ社によると、同社のサービスと製品は、サムスン、デルタ航空、クラフト・ハインツ、三菱などの有名企業を含む世界中の20万以上の組織で使用されているという。