【CISA報告】Barracuda ESG被攻擊 揭發新惡意軟件Submarine
全球超過 200,000 個企業及機構使用的Barracuda,5 月份發現電郵安全閘道器(Email Security Gateway,ESG)被攻擊後,CISA 近日表示,於被入侵的 ESG 設備上發現新的惡意軟件 Submarine,更警告該惡意軟件會對橫向移動構成嚴重威脅。
早前 Barracuda 發現 ESG 存在零時差漏洞,更早於去年 10 月已開始被黑客攻擊,直至今年 5 月才揭發事件。其後 Barracuda 採取了非常規方法,免費為所有受影響客戶更換設備,甚至連「外援」 Mandiant 的 Incident Response Manager 亦向記者表明,他們無法確保完全清除惡意軟件,所以選擇較謹慎的做法。
近日 CISA 在報告中指出,於被入侵的 ESG 設備上,除了原本已發現的惡意程式 Saltwalker、Seaspy 及 Seaside 外,再發現了另一種及為「Submarine」的新型惡意軟件。Submarine 屬於多組件後門,用於逃避檢測、持久化及數據收集,使用 root 權限執行,存在於 ESG 設備上的結構化查詢語言(SQL)數據庫中。事實上,Mandiant 亦追蹤到此惡意軟件,並將之命名為「DepthCharge」。當時 Submarine 便是利用現已修補的零日漏洞,在 Barracuda 的 ESG 設備上添加後門。
CISA 警告 Submarine 會對橫向移動構成嚴重威脅,並呼籲如遇到與 Submarine 及 Barracuda ESG 攻擊的相關可疑活動,可電郵至 [email protected] 與 CISA 24/7 營運中心聯絡。
