Sicurezza Informatica

CISA pubblica analisi del malware sulle backdoor di Barracuda

da Redazione
scritto da Redazione 0 commenti 2 minuti leggi

La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato tre rapporti di analisi del malware su varianti di malware associate all’exploit di CVE-2023-2868. Questa è una vulnerabilità di iniezione di comandi remoti che colpisce Barracuda Email Security Gateway (ESG) Appliance, versioni 5.1.3.001-9.2.0.006. È stata sfruttata come zero-day già da ottobre 2022 per ottenere accesso agli appliance ESG.

Dettagli sui malware

CISA ha analizzato le varianti del malware backdoor ottenute da un’organizzazione che era stata compromessa da attori minacciosi che sfruttavano la vulnerabilità. I malware analizzati includono:

  1. Barracuda Exploit Payload e Backdoor: Il payload sfrutta CVE-2023-2868, portando alla caduta e all’esecuzione di una backdoor a shell inversa sull’appliance ESG. La shell inversa stabilisce una comunicazione con il server di comando e controllo (C2) dell’attore minaccioso, da dove scarica la backdoor SEASPY sull’appliance ESG. Gli attori hanno consegnato il payload alla vittima tramite un’email di phishing con un allegato maligno.
  2. SEASPY: SEASPY è una backdoor persistente e passiva che si maschera come un servizio legittimo di Barracuda. SEASPY monitora il traffico dal server C2 dell’attore. Quando viene catturata la giusta sequenza di pacchetti, stabilisce una shell inversa del protocollo di controllo di trasmissione (TCP) al server C2. La shell permette agli attori minacciosi di eseguire comandi arbitrari sull’appliance ESG.
  3. SUBMARINE: SUBMARINE è una nuova backdoor persistente eseguita con privilegi di root che vive in un database di Structured Query Language (SQL) sull’appliance ESG. SUBMARINE comprende molteplici artefatti, tra cui un trigger SQL, script di shell e una libreria caricata per un demone Linux, che insieme consentono l’esecuzione con privilegi di root, la persistenza, il comando e il controllo, e la pulizia.

Per ulteriori informazioni, inclusi indicatori di compromissione e regole YARA per il rilevamento, sul payload dell’exploit, SEASPY e la backdoor SUBMARINE, si possono consultare i seguenti rapporti di analisi del malware. Questa vulnerabilità e i malware associati rappresentano una minaccia significativa per la sicurezza delle reti e richiedono attenzione immediata per mitigare i rischi.

Annunci

Potreste Essere Interessati

Si può anche come

Nebulous Mantis: volto nascosto della guerra cibernetica. RomCom...

Darcula tra intelligenza artificiale e crimine globale: nuova...

Attacchi mirati e vulnerabilità critiche: le nuove tattiche...

Minori e minacce digitali: il report 2025 della...

RHC Conference 2025: Roma ospita l’hub italiano della...

Guerra cibernetica, sabotaggio strategico e cyberspionaggio nei teatri...

Logo Matrice Digitale, sicurezza, informatica, mondo digitale, confronto smartphones

Matrice Digitale è un media INDIPENDENTE sul mondo della tecnologia. Specializzato in Guerra Cibernetica, Cybersecurity e Cybercrime, Matrice Digitale realizza inchieste ed analisi OSINT esclusive.  

Leggi la trasparenza

Iscriviti alla Newsletter

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope

Developed with love by Giuseppe Ferrara