La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato tre rapporti di analisi del malware su varianti di malware associate all’exploit di CVE-2023-2868. Questa è una vulnerabilità di iniezione di comandi remoti che colpisce Barracuda Email Security Gateway (ESG) Appliance, versioni 5.1.3.001-9.2.0.006. È stata sfruttata come zero-day già da ottobre 2022 per ottenere accesso agli appliance ESG.
Dettagli sui malware
CISA ha analizzato le varianti del malware backdoor ottenute da un’organizzazione che era stata compromessa da attori minacciosi che sfruttavano la vulnerabilità. I malware analizzati includono:
- Barracuda Exploit Payload e Backdoor: Il payload sfrutta CVE-2023-2868, portando alla caduta e all’esecuzione di una backdoor a shell inversa sull’appliance ESG. La shell inversa stabilisce una comunicazione con il server di comando e controllo (C2) dell’attore minaccioso, da dove scarica la backdoor SEASPY sull’appliance ESG. Gli attori hanno consegnato il payload alla vittima tramite un’email di phishing con un allegato maligno.
- SEASPY: SEASPY è una backdoor persistente e passiva che si maschera come un servizio legittimo di Barracuda. SEASPY monitora il traffico dal server C2 dell’attore. Quando viene catturata la giusta sequenza di pacchetti, stabilisce una shell inversa del protocollo di controllo di trasmissione (TCP) al server C2. La shell permette agli attori minacciosi di eseguire comandi arbitrari sull’appliance ESG.
- SUBMARINE: SUBMARINE è una nuova backdoor persistente eseguita con privilegi di root che vive in un database di Structured Query Language (SQL) sull’appliance ESG. SUBMARINE comprende molteplici artefatti, tra cui un trigger SQL, script di shell e una libreria caricata per un demone Linux, che insieme consentono l’esecuzione con privilegi di root, la persistenza, il comando e il controllo, e la pulizia.
Per ulteriori informazioni, inclusi indicatori di compromissione e regole YARA per il rilevamento, sul payload dell’exploit, SEASPY e la backdoor SUBMARINE, si possono consultare i seguenti rapporti di analisi del malware. Questa vulnerabilità e i malware associati rappresentano una minaccia significativa per la sicurezza delle reti e richiedono attenzione immediata per mitigare i rischi.
- Exploit Payload Backdoor MAR-10454006-r3.v1.CLEAR
- SEASPY Backdoor MAR-10454006-r2.v1.CLEAR
- SUBMARINE Backdoor MAR-10454006-r1.v2.CLEAR
🔴 OSSERVATORIO INTELLIGENCE: LIVE
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
