Агентство США по кибербезопасности и защите инфраструктуры (CISA) раскрыло подробности о новом бэкдоре SUBMARINE, который был развёрнут в рамках взлома устройств Barracuda Email Security Gateway (ESG).
SUBMARINE включает в себя несколько артефактов, в том числе триггер SQL, сценарии оболочки и загруженную библиотеку для демона Linux, которые вместе обеспечивают получение root-прав, постоянство, управление и контроль, а также очистку.
SUBMARINE (DEPTHCHARGE) выполняется с root-привилегиями в SQL-базе данных на устройстве ESG и получает зашифрованные команды, а также скрывает свои ответы в SMTP-трафике. Агентство также заявило, что проанализировало артефакты, связанные с SUBMARINE, которые включали содержимое скомпрометированной базы данных SQL. Специалисты CISA отмечают, что такие действия позволяют хакерам выполнять боковое перемещение (Lateral Movement).
Ранее Barracuda Networks сообщила , что недавно исправленная уязвимость нулевого дня в шлюзе Email Security Gateway (ESG) с октября 2022 года использовалась злоумышленниками для взлома устройств. Критическая уязвимость CVE-2023-2868 (CVSS: 9,8), активно использовалась в течение как минимум 7 месяцев до ее обнаружения для получения несанкционированного доступа к подмножеству ESG и кражи данных с них.
SUBMARINE является четвёртым вредоносным ПО, которое использовалось в атаках на Barracuda ESG. Предыдущие 3 бэкдора, SALTWATER, SEASPY, SEASIDE , использовались с октября 2022 года для эксфильтрации данных.