Selon la CISA, un nouveau logiciel malveillant connu sous le nom de Submarine a été utilisé pour détourner les appliances Barracuda ESG (Email Security Gateway) sur les réseaux des agences fédérales en exploitant un bogue du jour zéro désormais corrigé.

Un groupe de pirates présumés pro-Chine (UNC4841) a déployé la porte dérobée dans une série d’attaques de vol de données détectées en mai mais actives depuis au moins octobre 2022.

Barracuda a révélé que les attaquants ont exploité l’injection de commande à distance CVE-2023-2868 zero-day pour supprimer des logiciels malveillants auparavant inconnus appelés Saltwater et SeaSpy et un outil malveillant appelé SeaSide pour établir des shells inversés pour un accès à distance facile.

Le mois dernier, Barracuda a adopté une approche non conventionnelle et a proposé gratuitement des appareils de remplacement à tous les clients concernés.

Cette décision est intervenue après avoir émis un avertissement indiquant que toutes les appliances ESG (Email Security Gateway) compromises devaient être remplacées immédiatement au lieu de simplement les recréer avec un nouveau micrologiciel.

Le responsable de la réponse aux incidents de Mandiant, John Palmisano, a déclaré à Breachtrace à l’époque que cela avait été recommandé par prudence, car l’entreprise ne pouvait pas garantir la suppression complète des logiciels malveillants.

Une porte dérobée inconnue découverte sur des appliances ESG piratées
Vendredi, la CISA a révélé qu’une autre nouvelle souche de malware connue sous le nom de Submarine – et également suivie par Mandiant sous le nom de DepthCharge – a été trouvée sur les appliances compromises, une porte dérobée à plusieurs composants utilisée pour l’évasion de la détection, la persistance et la collecte de données.

« SUBMARINE est une nouvelle porte dérobée persistante qui réside dans une base de données SQL (Structured Query Language) sur l’appliance ESG. SUBMARINE comprend plusieurs artefacts qui, dans un processus en plusieurs étapes, permettent l’exécution avec les privilèges root, la persistance, la commande et le contrôle et le nettoyage. « , a déclaré CISA dans un rapport d’analyse de logiciels malveillants publié vendredi.

« En plus de SUBMARINE, CISA a obtenu des fichiers joints MIME (Multipurpose Internet Mail Extensions) associés de la victime. Ces fichiers contenaient le contenu de la base de données SQL compromise, qui comprenait des informations sensibles. »

À la suite des attaques, Barracuda a fourni des conseils aux clients concernés, leur conseillant d’examiner minutieusement leurs environnements pour vérifier que les attaquants n’avaient pas compromis d’autres appareils au sein de leurs réseaux.

Ce conseil s’aligne sur l’avertissement d’aujourd’hui de la CISA, qui indique que « le logiciel malveillant constitue une grave menace pour les mouvements latéraux ».

Ceux qui sont confrontés à des activités suspectes liées au malware Submarine et aux attaques Barracuda ESG sont priés de contacter le centre d’opérations 24/7 de CISA à [email protected].

Barracuda affirme que ses services et produits sont utilisés par plus de 200 000 organisations dans le monde, y compris des entreprises de premier plan telles que Samsung, Delta Airlines, Kraft Heinz et Mitsubishi.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *