ԱՄՆ կիբերանվտանգության և ենթակառուցվածքների անվտանգության գործակալությունը (CISA) նախորդ շաբաթվա ընթացքում բացահայտեց «նոր backdoor»-ի կիրառման մանրամասները, որը կոչվում է SUBMARINE: Այն հաքերների կողմից տեղակայվում է Barracuda Email Security Gateway (ESG) սարքերի կոտրման և համակարգերի ներթափանցման համար:
Նախնական բացահայտումները պատկանում են անանուն կազմակերպության: Malware ծրագրերը, որոնք օգտագործում են ESG սարքերի վրա ազդող CVE-2023-2868 (CVSS-ում միավորը՝ 9.8) կրիտիկական խոցելիությունը, remote command injection-ի մարտավարությամբ են առաջնորդվում:
Մինչ այժմ հավաքված ապացույցները ցույց են տալիս, որ գործողության հետևում կանգնած հաքերները Չինաստանի կառավարության կողմից հովանավորվող ծրագրավորողներ են, որոնք հետապնդվում է Mandiant-ի կողմից: Հարձակման արդյունքում հաքերներն օգտագործել են zero-day խոցելիությունը դեպի համակարգեր նախնական հասանելիություն ձեռք բերելու համար:
SUBMARINE-ը, որը Google-ին պատկանող սպառնալիքների հետախուզական ընկերության կողմից ծածկագրված է որպես DEPTHCHARGE , malware ծրագրերի վերջին ընտանիքն է, որը հայտնաբերվել է վերջին շրջանում իրականացված հարձակման ժամանակ: Այն գտնվում է ESG սարքի՝ Structured Query Language (SQL) տվյալների բազայում, «ստանում է կոդավորված հրամաններ և իր պատասխանները թաքցնում է SMTP տրաֆիկում»:
Ենթադրվում է, որ այն տեղակայվել է համակարգում՝ կրկնելով Mandiant-ի կողմից հաքերներին ուղղված քայլերը:
Գործակալությունը նաև նշում է, որ «վերլուծել է SUBMARINE-ին առնչվող արտեֆակտները, որոնք պարունակում էին SQL-ի վտանգված տվյալների բազաները», և ավելացրել է. «այն իրենց լուրջ վտանգ է ներկայացնում»:
Աղբյուրը՝ https://thehackernews.com/
