米CISA、Barracuda製ESGアプライアンス狙った攻撃で使用されたバックドア「SUBMARINE」について注意喚起(CVE-2023-2868) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 米CISA、Barracuda製ESGアプライアンス狙った攻撃で使用されたバックドア「SUBMARINE」について注意喚起(CVE-2023-2868)

Threat Report

Silobreaker-CyberAlert

米CISA、Barracuda製ESGアプライアンス狙った攻撃で使用されたバックドア「SUBMARINE」について注意喚起(CVE-2023-2868)

佐々山 Tacos

佐々山 Tacos

2023.07.31

米CISA、Barracuda製ESGアプライアンス狙った攻撃で使用されたバックドア「SUBMARINE」について注意喚起(CVE-2023-2868)

Barracuda(バラクーダ)製Email Security Gateway(ESG)アプライアンスにおける脆弱性CVE-2023-2868を悪用した攻撃で使われたバックドア「SUBMARINE」に関する分析レポートを、米CISAが公開。CVE-2023-2868はリモートコマンド実行の脆弱性で、遅くとも2022年10月から中国との関連が疑われるグループUNC4841によってゼロデイとして悪用されていたとされる。

関連記事:

ゼロデイ欠陥の利用によりBarracuda Email Security Gateway(ESG)がハッキングされる(CVE-2023-2868)

Barracuda製ESGアプライアンスのゼロデイ利用したハッキング、2022年10月から行われていた(CVE-2023-2868)

ゼロデイとして悪用された脆弱性、CVE-2023-2868

同脆弱性は、Eメールの添付ファイルスクリーニング用のモジュールに存在し、攻撃者によるESGアプライアンスのサブセットへの不正アクセスを可能にする恐れがある。今年5月19日に発見され、20日と21日の2つのセキュリティパッチのリリースによって修正されたものの、6月6日、Barracuda社は悪用の影響を受けた顧客に対し、パッチの適用有無にかかわらず直ちに使用中のアプライアンスを新品と交換するよう伝える「アクション通知」を発出していた。

関連記事:Barracuda、ハッキングされたESGアプライアンスの交換を顧客に呼びかけ(CVE-2023-2868)

バックドア「SUBMARINE」

SUBMARINEは、ESGアプライアンスのSQLデータベース内に潜む、root権限で実行されるバックドア。SQLトリガー、シェルスクリプト、Linuxデーモン用のロードされたライブラリなど複数のアーティファクトで構成されている。これらのアーティファクトによりroot権限での実行、持続性の確保、コマンド・アンド・コントロール、クリーンアップが実現するという。また攻撃者は、SUBMARINEを使ってラテラルムーブメントを行うことができる。

CISAのマルウェア分析レポートには、IoCや検出のためのYara Ruleなど、同バックドアに関する技術的な詳細情報が記載されている。

CVE-2023-2868の悪用で使われたその他のマルウェア

CVE-2023-2868を悪用した攻撃においては、SUBMARINEの他に以下の3つのマルウェアも使用されていたことが5月30日に明かされていた。なおSEASPYに関しては、CISAがSUBMARINEと同じタイミングで分析レポートを公開している。

 

・SALTWATER:BarracudaのSMTPデーモン(bsmtpd)向けのトロイの木馬化されたモジュールで、バックドアとしての機能を有する。SALTWATERを使用することで、攻撃者は任意のファイルのアップロード/ダウンロードやコマンド実行を行えるようになる。

 

・SEASPY:ELFにおけるx64実行ファイルで、Barracuda社の正規サービス「BarracudaMailService」を装ったバックドア。25番ポートと587番ポートのトラフィックをモニタリングするほか、攻撃者によるESGアプライアンス上での任意コマンド実行を可能にする。

 

・SEASIDE:BarracudaのSMTPデーモン(bsmtpd)向けのLuaベースのモジュール。SMTPのHELO/EHLOコマンドをモニタリングして攻撃者のC2サーバーのIPアドレスとポートを受信するほか、リバースシェルの確立を助ける。

 

(情報源:CISA “CISA Releases Malware Analysis Reports on Barracuda Backdoors”、Security Affairs “CISA warns about SUBMARINE Backdoor employed in Barracuda ESG attacks”、Barracuda “Barracuda Email Security Gateway Appliance (ESG) Vulnerability”)

7月29, 30日:その他の注目ニュース

Abyss LockerがVMware ESXiサーバーも狙えるように

Security Affairs – Jul 29 2023 20:01

専門家によると、VMware ESXiサーバーを標的とするように設計されたAbyss LockerのLinux亜種が現れたという。Abyss Lockerは今年初頭に始動したランサムウェアオペレーションで、現在までに14組織をリークサイトに掲載している。

Bleeping Computerによると、研究者チームのMalwareHunterTeamが、AbyssランサムウェアのLinux ELF版暗号化ツールを最初に発見したという。これは、VMware ESXiサーバーを標的に設計されたもの。VMware ESXiサーバーはランサムウェアグループの特別な標的であり、しばしば企業のインフラの一部となっている。サイバーセキュリティの専門家であるMichael Gillespie氏は、BleepingComputerに対し、Abyss LockerのLinux暗号化プログラムはHello Kittyランサムウェアをベースにしていると語った。暗号化コードを分析したところ、VMware ESXi管理ツールのコマンドライン「esxcli」を使用することで仮想マシン(VM)を列挙し、終了させることが判明した。VMが終了すると、この悪意あるコードは仮想ディスク(.vmdk)、メタデータ(.vmsd)、スナップショット(.vmsn)を暗号化することができるという。

偽の検索結果を通じてBlackCatランサムウェアを投下するマルバタイジング攻撃

HackRead – Jul 28 2023 17:04

企業を主な標的とする新たなマルバタイジング(不正広告)攻撃が追跡されている。Bitdefenderの最新調査レポートによると、脅威アクターがGoogleの偽の検索結果を通じてユーザーを誘い、AnyDesk、AnyConnect、WinSCP、Treesize、Cisco、Slackなどを含む有名なアプリの悪意あるバージョンをダウンロードさせるという。これらの偽バージョンへDLLサイドローニングにより悪意あるコードが注入され、これによりシステムが感染すると、攻撃者は認証情報の窃取、恐喝のためのデータの抽出、永続性の確立、BlackCatランサムウェア(別名ALPHV)のインストールなど、デバイス上でさまざまな活動を行うことができるという。さらに調査を進めると、このキャンペーンは2023年5月から行われており、北米の組織、特に米国とカナダの企業が顕著な標的となっていることが判明した。これまでのところ、Bitdefenderの研究者らは米国で6つの組織、カナダで1つの組織が標的になっていることを検出した。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ