CISA：在被黑的 Barracuda ESG 设备上发现新的潜艇恶意软件

CISA 表示，名为 Submarine 的新恶意软件通过利用现已修补的零日漏洞，在联邦机构网络上的 Barracuda ESG（电子邮件安全网关）设备中添加后门。

一个疑似亲中国的黑客组织 (UNC4841)在 5 月份检测到的一系列数据盗窃攻击中部署了后门，但至少从 2022 年 10 月起就开始活跃。

Barracuda 透露，攻击者利用CVE-2023-2868远程命令注入零日攻击来投放以前未知的名为 Saltwater 和 SeaSpy 的恶意软件，以及名为 SeaSide 的恶意工具来建立反向 shell，以便轻松进行远程访问。

上个月，梭子鱼采取了非常规的方式，免费为所有受影响的客户提供更换设备。

这一决定是在发出警告后做出的，即所有受损的 ESG（电子邮件安全网关）设备都需要立即更换，而不仅仅是使用新固件重新映像。

Mandiant 事件响应经理 John Palmisano 当时告诉 BleepingComputer，建议这样做是出于谨慎，因为该公司无法确保完全清除恶意软件。

被黑的 ESG 设备上发现未知后门

周五，CISA透露，在受感染的设备上发现了另一种名为 Submarine 的新型恶意软件，Mandiant 也将其追踪为 DepthCharge，这是一种用于规避检测、持久性和数据收集的多组件后门。

“SUBMARINE 是一种新颖的持久性后门，存在于 ESG 设备上的结构化查询语言 (SQL) 数据库中。SUBMARINE 包含多个工件，这些工件在多步骤过程中支持使用 root 权限执行、持久性、命令和控制以及清理”，CISA 在周五发布的恶意软件分析报告中表示。

“除了 SUBMARINE 之外，CISA 还从受害者那里获取了相关的多用途互联网邮件扩展 (MIME) 附件文件。这些文件包含受损 SQL 数据库的内容，其中包括敏感信息。”

攻击发生后，梭子鱼向受影响的客户提供了指导，建议他们彻底检查其环境，以验证攻击者没有损害其网络中的其他设备。

【安全圈】危险、糟糕！Google的浏览器安全计划存在缺陷

【安全圈】苹果强硬态度对待英国新的隐私法案，下架APP拒绝提供服务！

【安全圈】网信办发布电子图书类、拍摄美化类、云盘类 App 个人信息收集情况测试报告

【安全圈】WordPress Ninja Forms 又被曝出严重安全漏洞

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！