Novo backdoor persistente usado em ataques a appliances Barracuda ESG

Views: 205
0 0
Read Time:1 Minute, 36 Second

Exploit de dia zero do Barracuda ESG e backdoors

No final de maio, a Barracuda alertou que os invasores estavam explorando a vulnerabilidade (então dia zero) nos dispositivos físicos ESG da Barracuda Networks.

Conforme especificado anteriormente pela Mandiant, os agentes da ameaça configuraram um backdoor de shell reverso nos dispositivos, que eles usaram para baixar o backdoor SEASPY , juntamente com cargas maliciosas adicionais ( SALTWATER, SEASIDE ).

“SEASPY é um backdoor persistente e passivo que se disfarça como um serviço Barracuda legítimo. O SEASPY monitora o tráfego do servidor C2 do ator”, observou o alerta consultivo da CISA.

“Quando a sequência correta do pacote é capturada, ela estabelece um shell reverso do Protocolo de Controle de Transmissão (TCP) para o servidor C2. O shell permite que os agentes de ameaças executem comandos arbitrários no dispositivo ESG.”

Após as tentativas iniciais de resolver a vulnerabilidade lançando um patch ou incitando os clientes a implementar mitigações, a Barracuda finalmente emitiu um aviso de ação urgente aconselhando-os a substituir seus dispositivos ESG o mais rápido possível.

Uma nova variante de malware

A CISA identificou um novo tipo de malware nos dispositivos ESG comprometidos, que foi apelidado de SUBMARINE .

“O SUBMARINE é um novo backdoor persistente executado com privilégios de root que reside em um banco de dados de Linguagem de Consulta Estruturada (SQL) no dispositivo ESG”, observou a Agência .

“O SUBMARINE compreende vários artefatos – incluindo um gatilho SQL, scripts de shell e uma biblioteca carregada para um daemon Linux – que juntos permitem a execução com privilégios de root, persistência, comando e controle e limpeza.”

A Agência diz que esse malware representa “uma ameaça grave para o movimento lateral” e forneceu indicadores de comprometimento e os defensores das regras da YARA podem usar para detectá-lo, os outros backdoors e a carga de exploração em seus ambientes.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS