Barracudaのセキュリティアプライアンスを標的にして連邦ネットワークを侵害した中国の脅威アクターは、新たに明らかになった「Submarine」と呼ばれるバックドアを一部で利用していたことが、主要なセキュリティ機関の発表で明らかになった。
攻撃に関する当初のMandiantの報告書では、同グループが使用したバックドアとしてSeaside、Saltwater、Seaspyの3つが取り上げられていた。しかし金曜日の更新で、サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、「永続性を確立し維持する」ために追加のバックドア型マルウェアが展開されていたことを明らかにした。
Barracudaキャンペーンの詳細はこちら:Barracudaのゼロデイが中国アクターに悪用
CISAによると、Submarineは「root権限で実行される新規の永続的バックドア」で、標的となったBarracuda Email Security Gateway(ESG)アプライアンス上の構造化照会言語(SQL)データベース内に隠されていた。
「Submarineは、SQLトリガー、シェルスクリプト、Linuxデーモン向けのロードされたライブラリなど複数のアーティファクトで構成され、これらが組み合わさることでroot権限での実行、永続化、コマンド&コントロール、そして痕跡の消去を可能にする」と、同庁は主張した。
「CISAはまた、侵害されたSQLデータベースの内容を含むSubmarine関連のアーティファクトも分析した。このマルウェアは、ラテラルムーブメントにおいて深刻な脅威となる。」
先月、Barracudaは異例の決定として、パッチ適用状況にかかわらず影響を受けたESG顧客全員に交換用デバイスを提供すると発表した。
それは、Mandiantとともに追跡していた脅威グループが異常なほど執拗だったためだ。
同ベンダーは5月19日にこのキャンペーンを発見し、2日後に脅威を封じ込めて修復するためのパッチをリリースした。しかし中国のアクターUNC4841はマルウェアを切り替え、新たな永続化メカニズムを展開してアクセスを維持した。
その後、同アクターは作戦の頻度を増加させ始め、Barracudaは新しいハードウェア提供の申し出に踏み切らざるを得なくなった。
UNC4841は当初、ゼロデイ脆弱性CVE-2023-2868を介して被害者ネットワークへのアクセスを獲得した。これはBarracuda ESGアプライアンスの5.1.3.001~9.2.0.006に影響するリモートコマンドインジェクションの不具合である。
翻訳元: https://www.infosecurity-magazine.com/news/cisa-submarine-backdoor-barracuda/
