CISA: Phần mềm độc hại Submarine mới được tìm thấy trên các thiết bị Barracuda ESG bị hack

CISA cho biết phần mềm độc hại mới có tên Submarine đã được sử dụng để tạo cửa sau cho các thiết bị Barracuda ESG (Cổng bảo mật email) trên mạng của các cơ quan liên bang bằng cách khai thác lỗi zero-day hiện đã được vá.

Một nhóm hacker bị nghi ngờ thân Trung Quốc (UNC4841) đã triển khai cửa sau trong một loạt vụ tấn công đánh cắp dữ liệu được phát hiện vào tháng 5 nhưng hoạt động ít nhất kể từ tháng 10 năm 2022 

Barracuda tiết lộ rằng những kẻ tấn công đã khai thác lỗ hổng zero-day tiêm lệnh từ xa CVE-2023-2868 để phát tán phần mềm độc hại chưa biết trước đó có tên là Saltwater và SeaSpy cũng như một công cụ độc hại có tên SeaSide để thiết lập các shell đảo ngược để dễ dàng truy cập từ xa.

Tháng trước, Barracuda đã thực hiện một cách tiếp cận độc đáo và cung cấp thiết bị thay thế miễn phí cho tất cả khách hàng bị ảnh hưởng.

Quyết định này được đưa ra sau khi đưa ra cảnh báo rằng tất cả các thiết bị ESG (Cổng bảo mật email) bị xâm nhập cần được thay thế ngay lập tức thay vì chỉ chụp lại chúng bằng chương trình cơ sở mới.

Người quản lý ứng phó sự cố Mandiant John Palmisano nói với BleepingComputer vào thời điểm đó rằng điều này được khuyến nghị một cách thận trọng vì công ty không thể đảm bảo loại bỏ hoàn toàn phần mềm độc hại.

Cửa hậu không xác định được tìm thấy trên các thiết bị ESG bị tấn công

Vào thứ Sáu, CISA tiết lộ rằng một loại phần mềm độc hại mới khác có tên Submarine—và cũng được Mandiant theo dõi với tên gọi DepthCharge—đã được tìm thấy trên các thiết bị bị xâm nhập, một cửa hậu nhiều thành phần được sử dụng để phát hiện hành vi trốn tránh, duy trì hoạt động và thu thập dữ liệu.

"SUBMARINE là một cửa hậu liên tục mới tồn tại trong cơ sở dữ liệu Ngôn ngữ truy vấn có cấu trúc (SQL) trên thiết bị ESG. SUBMARINE bao gồm nhiều tạo phẩm, trong một quy trình gồm nhiều bước, cho phép thực thi với các đặc quyền gốc, tính bền bỉ, lệnh và kiểm soát cũng như dọn dẹp ”, CISA cho biết trong một báo cáo phân tích phần mềm độc hại được công bố vào thứ Sáu.

"Ngoài SUBMARINE, CISA còn lấy được các tệp đính kèm Tiện ích mở rộng thư Internet đa năng (MIME) liên quan từ nạn nhân. Các tệp này chứa nội dung của cơ sở dữ liệu SQL bị xâm nhập, bao gồm thông tin nhạy cảm."

Sau các cuộc tấn công, Barracuda đã cung cấp hướng dẫn cho những khách hàng bị ảnh hưởng, khuyên họ xem xét kỹ lưỡng môi trường của mình để xác minh rằng những kẻ tấn công chưa xâm phạm các thiết bị khác trong mạng của họ.

Barracuda cho biết thêm : “Phần mềm độc hại bổ sung này đã được kẻ đe dọa sử dụng để đáp lại các hành động khắc phục của Barracuda nhằm cố gắng tạo quyền truy cập liên tục vào các thiết bị ESG của khách hàng. Phần mềm độc hại này xuất hiện trên một số lượng rất nhỏ các thiết bị ESG đã bị xâm nhập” .

"Khuyến nghị của Barracuda không thay đổi. Khách hàng nên ngừng sử dụng thiết bị ESG bị xâm nhập và liên hệ với bộ phận hỗ trợ của Barracuda (support@barracuda.com) để có được thiết bị phần cứng hoặc ảo ESG mới."

Lời khuyên này phù hợp với cảnh báo ngày nay từ CISA, trong đó nói rằng "phần mềm độc hại gây ra mối đe dọa nghiêm trọng cho hoạt động di chuyển ngang".

Những người gặp phải các hoạt động đáng ngờ liên quan đến phần mềm độc hại Submarine và các cuộc tấn công Barracuda ESG nên liên hệ với Trung tâm điều hành 24/7 của CISA tại Report@cisa.gov .

Barracuda cho biết các dịch vụ và sản phẩm của họ được hơn 200.000 tổ chức trên toàn thế giới sử dụng, bao gồm cả những tổ chức nổi tiếng như Samsung, Delta Airlines, Kraft Heinz và Mitsubishi.