CISA получила семь образцов вредоносных программ, связанных с новым бэкдором, который CISA назвала SUBMARINE. Эти вредоносные программы использовались угрозами, эксплуатирующими CVE-2023-2868, бывшую уязвимость нулевого дня, затрагивающую некоторые версии 5.1.3.001 - 9.2.0.006 шлюза Barracuda Email Security Gateway (ESG).
SUBMARINE - это новый постоянный бэкдор, который живет в базе данных Structured Query Language (SQL) на устройстве ESG. SUBMARINE состоит из множества артефактов, которые в ходе многоступенчатого процесса позволяют выполнять действия с привилегиями root, сохранять их, управлять ими и очищать. Помимо SUBMARINE, CISA получила от жертвы сопутствующие файлы вложений Multipurpose Internet Mail Extensions (MIME). В этих файлах содержалось содержимое скомпрометированной базы данных SQL, включавшее конфиденциальную информацию.
Indicators of Compromise
SHA256
- 2a353e9c250e5ea905fa59d33faeaaa197d17b4a4785456133aab5dbc1d1d5d5
- 6dd8de093e391da96070a978209ebdf9d807e05c89dba13971be5aea2e1251d0
- 81cf3b162a4fe1f1b916021ec652ade4a14df808021eeb9f7c81c8d2326bddab
- 8695945155d3a87a5733d31bf0f4c897e133381175e1a3cdc8c73d9e38640239
- b98f8989e8706380f779bfd464f3dea87c122651a7a6d06a994d9a4758e12e43
- bbbae0455f8c98cc955487125a791052353456c8f652ddee14f452415c0b235a
- cc131dd1976a47ee3b631a136c3224a138716e9053e04d8bea3ee2e2c5de451a
