A CISA diz que um novo malware conhecido como Submarine foi utilizado para fazer um backdoor nos dispositivos Barracuda ESG (Gateway de Segurança de Email) em redes de agências federais, explorando um bug de zero-day já corrigido.
Um grupo de hackers suspeito de ser pró-China (UNC4841) implantou o backdoor em uma série de ataques de roubo de dados detectados em maio, mas ativo pelo menos desde outubro de 2022.
Barracuda revelou que os atacantes exploraram o zero-day de injeção de comando remoto
CVE-2023-2868
para lançar malwares anteriormente desconhecidos chamados Saltwater e SeaSpy e uma ferramenta maliciosa chamada SeaSide para estabelecer shells reversos para fácil acesso remoto.
No mês passado, a Barracuda adotou uma abordagem não convencional e ofereceu dispositivos de substituição a todos os clientes afetados sem custo.
Essa decisão foi tomada depois de emitir um aviso de que todos os dispositivos ESG comprometidos (Gateway de Segurança de Email) precisavam de substituição imediata em vez de simplesmente vendê-los com novo firmware.
O gerente de resposta a incidentes da Mandiant, John Palmisano, disse ao BleepingComputer na época que isso foi recomendado por precaução, pois a empresa não podia garantir a remoção completa do malware.
Na sexta-feira, a CISA revelou que outra nova cepa de malware conhecida como Submarine - e também rastreada pela Mandiant como DepthCharge - foi encontrada nos dispositivos comprometidos, um backdoor de vários componentes usado para evasão de detecção, persistência e coleta de dados.
"O SUBMARINE é um backdoor persistente e inédito que vive em um banco de dados de Linguagem de Consulta Estruturada (SQL) no dispositivo ESG.
O SUBMARINE compreende vários artefatos que, em um processo de várias etapas, permitem execução com privilégios de root, persistência, comando e controle e limpeza", disse a CISA em um relatório de análise de malware publicado na sexta-feira.
"Além do SUBMARINE, a CISA obteve arquivos anexos de Extensões de Correio Internet Multipropósito (MIME) associados da vítima.
Esses arquivos continham o conteúdo do banco de dados SQL comprometido, que incluía informações sensíveis".
Na sequência dos ataques, a Barracuda orientou os clientes afetados, aconselhando-os a revisar cuidadosamente seus ambientes para verificar se os invasores não comprometeram outros dispositivos em suas redes.
Esse conselho está alinhado com o alerta de hoje da CISA, que diz que "o malware representa uma grave ameaça para o movimento lateral".
Aqueles que encontrarem atividades suspeitas vinculadas ao malware Submarine e aos ataques no Barracuda ESG são instados a entrar em contato com o Centro de Operações 24/7 da CISA.
A Barracuda afirma que seus serviços e produtos são utilizados por mais de 200.000 organizações em todo o mundo, incluindo grandes empresas como Samsung, Delta Airlines, Kraft Heinz e Mitsubishi.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...