Търсене
Close this search box.

Китайската UNC4841 стои зад атаките срещу Barracuda?

Заподозряната група от  Китай, наречена UNC4841, е свързана с използването на наскоро поправен недостатък от типа „нулев ден“ в устройствата Barracuda Email Security Gateway (ESG) от октомври 2022 г. насам.

„UNC4841 е шпионска банда, която стои зад тази широкообхватна кампания в подкрепа на Китайската народна република“, заяви Mandiant, собственост на Google, в нов доклад, публикуван днес, описвайки групата като „агресивна и квалифицирана“.

Въпросният недостатък е CVE-2023-2868 (CVSS оценка: 9,8), който се отнася до отдалечено инжектиране на код, засягащо версиите от 5.1.3.001 до 9.2.0.006, което възниква в резултат на непълно валидиране на прикачени файлове, съдържащи се във входящи имейли.

Barracuda отстрани проблема на 20 и 21 май 2023 г., но оттогава компанията призовава засегнатите клиенти незабавно да заменят устройствата „независимо от нивото на версията на пача“.

 

Сега според фирмата за реагиране на инциденти и разузнаване на заплахи, която беше назначена да проучи хакерската атака, се твърди, че UNC4841 е изпратила имейли до организациите жертви, съдържащи злонамерени прикачени файлове TAR, които са били предназначени да използват грешката още на 10 октомври 2022 г.

Тези имейл съобщения са съдържали общи примамки с лоша граматика, а в някои случаи и заместващи стойности – тактика, умишлено избрана, за да се прикрият съобщенията като спам.

Отбелязва се, че целта е била да се изпълни полезен товар с обратна обвивка на целевите ESG устройства и да се доставят три различни щама на зловреден софтуер – SALTWATER, SEASIDE и SEASPY – за да се установи устойчивост и да се изпълняват произволни команди, като същевременно се маскират като легитимни модули или услуги на Barracuda ESG.

Също така противникът разполага с руткит на ядрото, наречен SANDBAR, който е конфигуриран така, че да прикрива процеси, започващи с определено име, както и троянски версии на два различни валидни Barracuda Lua модула.

  • SEASPRAY – стартираща програма за проверка на входящи прикачени файлове към електронна поща с определено име на файл и стартира външна C-базирана програма, наречена WHIRLPOOL, за да създаде TLS обратна обвивка
  • SKIPJACK – Пасивен имплант, който слуша за заглавия и теми на входящи имейли и изпълнява съдържанието, присъстващо в полето на заглавието „Content-ID“

Установено е припокриване на изходния код между SEASPY и публично достъпна задна врата, наречена cd00r, както и между SANDBAR и руткит с отворен код, което предполага, че извършителят е използвал съществуващи инструменти, за да организира проникванията.

UNC4841 има всички характеристики на устойчив играч, като се има предвид способността му бързо да променя зловредния си софтуер и да използва допълнителни механизми за устойчивост, тъй като Barracuda започна усилия за ограничаване на разпространението, след като откри дейността на 19 май 2023 г.

В някои случаи е наблюдавано, че групата използва достъп до компрометирано устройство ESG, за да извърши странично движение в мрежата на жертвата или да изпрати поща до други устройства на жертвата. В част от случаите ексфилтрацията на данни е включвала улавяне на данни, свързани с електронна поща.

Според Mandiant високочестотните атаки са били насочени към неуточнен брой организации от частния и публичния сектор, намиращи се в поне 16 държави, като почти една трета от тях са били правителствени организации. 55% от засегнатите организации се намират в Северна и Южна Америка, следвани от 24% в Европа, Близкия изток и Африка и 22% в Азиатско-тихоокеанския регион.

„UNC4841 е показал, че реагира изключително бързо на защитните усилия и активно променя ТТП, за да поддържа операциите си“, заяви Mandiant, като добави, че очаква участниците да „променят своите ТТП и да модифицират инструментариума си“.

 

Източник: The Hacker News

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...
Бъдете социални
Още по темата
24/07/2024

Китайските хакери разполага...

Китайската хакерска група, проследена като „Evasive...
23/07/2024

САЩ налагат санкции на руск...

Правителството на САЩ наложи санкции на...
12/07/2024

AT&T: Всички клиенти на...

Мащабният пробив в данните на AT&T,...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!