画像: Bing Image Creator
ネットワークおよび電子メール セキュリティ企業バラクーダは本日、最近パッチが適用されたゼロデイ脆弱性が少なくとも 7 か月間悪用され、顧客の電子メール セキュリティ ゲートウェイ (ESG) アプライアンスをカスタム マルウェアでバックドアし、データを盗んでいたことを明らかにしました。
同社によると、進行中の調査により、このバグ(CVE-2023-2868として追跡)は2022年10月に初めて悪用され、「ESGアプライアンスのサブセット」へのアクセスを取得し、侵害されたアプライアンスへの永続的なアクセスを攻撃者に提供するように設計されたバックドアが展開されたことが判明したと述べている。システム。
バラクーダはまた、攻撃者がバックドア付きの ESG アプライアンスから情報を盗んだという証拠も発見しました。
このセキュリティ欠陥は、ESG アプライアンスからの不審なトラフィックについて警告を受け、サイバーセキュリティ会社 Mandiant に調査協力を依頼した翌日の 5 月 19 日に特定されました。
同社は5月20日にすべてのESGアプライアンスにセキュリティパッチを適用することでこの問題に対処し、その1日後に専用スクリプトを導入することで侵害されたデバイスへの攻撃者のアクセスをブロックした。
5月24日、同社は顧客に対し、現在パッチが適用されているゼロデイバグを利用してESGアプライアンスが侵害された可能性があると警告し、おそらく攻撃者がネットワーク上の他のデバイスに横方向に移動することを確実にするため、環境を調査するようアドバイスした。
「封じ込め戦略を推進するために、一連のセキュリティパッチがすべてのアプライアンスに展開されている」とバラクーダ氏も本日述べた。
「影響を受けたと思われるアプライアンスを所有するユーザーには、ESG ユーザー インターフェイスを介して取るべき行動が通知されています。バラクーダはこれらの特定の顧客にも連絡を取りました。」
CISAは金曜日、 悪用された既知の脆弱性のリストにCVE-2023-2868の欠陥を追加したが、これはおそらくESGアプライアンスを使用してネットワークの侵害による侵入の兆候をチェックする連邦政府機関に対する警告であると考えられる。
攻撃に導入されたカスタム仕立てのマルウェア
調査中に、これまで知られていなかったいくつかのマルウェア株が発見されました。これらは、特に侵害された Email Security Gateway 製品で使用されるように設計されていました。
Saltwater と呼ばれる 1 つ目は、トロイの木馬化された Barracuda SMTP デーモン (bsmtpd) モジュールで、感染したアプライアンスへのバックドア アクセスを攻撃者に提供します。
その「機能」には、侵害されたデバイス上でコマンドを実行し、ファイルを転送し、攻撃者の悪意のあるトラフィックをプロキシ/トンネリングして検出を回避する機能が含まれます。
このキャンペーン中に展開され、SeaSpy と呼ばれる別のマルウェア株は永続性を提供し、「マジック パケット」を使用してアクティブ化できます。 SeaSpy はポート 25 (SMTP) トラフィックの監視に役立ち、そのコードの一部は公開されている cd00r パッシブ バックドアと重複しています。
攻撃者はまた、SeaSide と呼ばれる bsmtpd 悪意のあるモジュールを使用して、マルウェアのコマンド アンド コントロール (C2) サーバー経由で送信された SMTP HELO/EHLO コマンドを介してリバース シェルを確立しました。
お客様には、ESG アプライアンスが最新かどうかを確認し、侵害されたアプライアンスの使用を停止し、新しい仮想アプライアンスまたはハードウェア アプライアンスをリクエストし、ハッキングされたアプライアンスにリンクされているすべての認証情報をローテーションし、 今日共有されている IOC とからの接続についてネットワーク ログを確認することをお勧めします。不明なIP。
バラクーダ社によると、同社の製品はサムスン、デルタ航空、三菱、クラフト・ハインツなどの有名企業を含む20万以上の組織で使用されているという。
Comments