Un nuovo tipo di malware chiamato Submarine è stato recentemente scoperto da CISA e si è dimostrato essere particolarmente pericoloso per le reti delle agenzie federali.
Questo malware è stato impiegato da un gruppo di hacker sospettato di essere affiliato alla Cina, noto come UNC4841, per eseguire il backdoor delle appliance Barracuda ESG (Email Security Gateway) e rubare dati sensibili. I primi attacchi di furto di dati sono stati rilevati a maggio, ma si ritiene che il malware sia attivo dalmeno da ottobre 2022.
Gli aggressori hanno sfruttato una vulnerabilità zero-day di iniezione di comando remoto (CVE-2023-2868) per installare la backdoor Submarine, eliminando così altri malware precedentemente sconosciuti come Saltwater, SeaSpy e SeaSide. Questi strumenti hanno permesso loro di stabilire shell inverse per ottenere un facile accesso remoto ai sistemi compromessi.
Di fronte a questa minaccia, Barracuda ha preso provvedimenti immediati per proteggere i propri clienti. Invece di limitarsi a ricreare le appliance ESG compromesse con un nuovo firmware, l’azienda ha offerto gratuitamente dispositivi sostitutivi a tutti i clienti interessati. Questa decisione è stata presa dopo aver rilasciato un avviso in cui si raccomandava la sostituzione immediata dei dispositivi compromessi, poiché non si poteva garantire la completa rimozione del malware.
Backdoor sconosciuta trovata su appliance ESG compromesse
Ulteriori indagini hanno rivelato un altro nuovo ceppo di malware chiamato DepthCharge (noto anche come Submarine) sulle appliance compromesse. Questo malware agisce come una backdoor multicomponente, progettata per eludere il rilevamento, persistere nel sistema e raccogliere dati. Si è scoperto che DepthCharge risiede in un database SQL sull’appliance ESG e comprende vari artefatti che consentono l’esecuzione con privilegi di root, il comando e controllo e la pulizia delle tracce.
Barracuda ha offerto ai propri clienti consigli su come proteggere i loro ambienti e accertarsi che altri dispositivi non siano stati compromessi. Inoltre, CISA ha rilasciato un avvertimento sulla gravità di questo malware, indicando che rappresenta una minaccia significativa per il movimento laterale all’interno delle reti colpite.
I clienti o gli utenti che sospettano attività illecite correlate al malware Submarine e agli attacchi Barracuda ESG sono incoraggiati a segnalare il problema al Centro operativo 24/7 di CISA all’indirizzo [email protected].
Barracuda ha un vasto numero di clienti in tutto il mondo, tra cui alcune organizzazioni di alto profilo come Samsung, Delta Airlines, Kraft Heinz e Mitsubishi, quindi è essenziale che tutti coloro che utilizzano i loro servizi siano consapevoli di questa minaccia e prendano le misure appropriate per proteggere le proprie reti.
Blue Team Inside, si occupa di sicurezza informatica da più di 5 anni, con un occhio di riguardo alla difesa.
Una Padawan Etichal pronta a difendere l’anello più debole della catena…
Attenzione a non sottovalutarla, se finite vittima di una sua campagna di Spear Phishing non potrete scampare.
Tre caratteristiche che la distinguono:
La precisione
Sempre alla ricerca di imparare cose nuove
La sua auto…comprensiva di antenna
Colore preferito? Verde, ovviamente!