Китайская государственная угроза, стоящая за серией кибератак на клиентов Barracuda Networks, в преддверии Рождества начала кампанию, нацеленную на продукты безопасности электронной почты поставщика.
Китайская государственная угроза, отслеживаемая как UNC4841, которая в прошлом году атаковала пользователей устройств шлюза безопасности электронной почты Barracuda Networks (ESG) через уязвимость удаленного выполнения кода (RCE), снова в действии, используя недавно обнаруженную уязвимость нулевого дня для атаки на высокопоставленные пользователи. профиль клиентов Barracuda.
Barracuda официально раскрыла уязвимость в канун Рождества, через три дня после того, как она развернула обновление на всех активных устройствах ESG, но не раньше, чем UNC4841 использовала ее для доставки новых вариантов своих вредоносных программ Seaspy и Saltwater на «ограниченное количество» устройств.
Рассматриваемая уязвимость, CVE-2023-7102, представляет собой дефект выполнения произвольного кода (ACE) в библиотеке с открытым исходным кодом Spreadsheet::ParseExcel, модуле Perl, который, в свою очередь, используется антивирусным сканером Amavis с открытым исходным кодом, который работает на ESG. Техника.
В беседе с дочерним изданием TechTarget Security от Computer Weekly 28 декабря 2023 года старший консультант Mandiant по реагированию на инциденты Остин Ларсен, который активно работал с Barracuda после раскрытия информации в мае 2023 года, сказал: «Mandiant считает, что эта кампания была начата примерно 30 ноября 2023 года как часть о продолжающихся шпионских операциях UNC4841.
«Barracuda оперативно отреагировала, развернув обновления для устранения уязвимости и устройств ESG, которые могли быть скомпрометированы недавно выявленными вариантами вредоносного ПО», — сказал он.
По мнению Mandiant, уязвимостью можно легко воспользоваться, если жертва получит электронное письмо со специально созданным вложением Excel. Когда устройство Barracuda ESG сканирует это входящее электронное письмо, код выполняется без каких-либо действий со стороны пользователя, что делает его особенно опасным.
В Barracuda заявили, что, поскольку обновление было развернуто автоматически, ее клиентам не нужно предпринимать никаких дополнительных действий.
Второе обозначение
Однако на этом история не заканчивается. Учитывая, что уязвимый модуль Perl используется другими в более широком контексте, уязвимости ACE также присвоено второе обозначение — CVE-2023-7101.
«Этот модуль Perl используется для анализа файлов Excel», — сказал Майк Уолтерс, президент и сооснователь Action1, специалист по управлению исправлениями. «Уязвимость в Spreadsheet::ParseExcel вызвана передачей непроверенных входных данных из файла в функцию «eval» со строковым типом.
«В частности, проблема связана с оценкой строк числового формата в логике синтаксического анализа Excel», — сказал он.
«Организациям, использующим Spreadsheet::ParseExcel в своих решениях, настоятельно рекомендуется изучить CVE-2023-7101 и немедленно принять необходимые меры по исправлению ситуации. Что касается новой кампании этого известного субъекта, эксперты полагают, что у APT все еще есть средства нулевого дня, которые будут с осторожностью использоваться в атаках на крупные цели».
Многолетняя кампания
На данный момент интерес UNC4841 к продуктам Barracuda Networks насчитывает более года: первоначальная активность в отношении CVE-2023-2868 началась в октябре 2022 года, а первоначальный всплеск числа жертв пришелся на начало ноября. После раскрытия информации в мае 2023 года последовали последующие волны активности, достигшие максимальной интенсивности в июне.
Группу описывают как «хорошо обеспеченную ресурсами» операцию с различными семействами вредоносных программ, предназначенных для выборочного развертывания на высокоприоритетных объектах по всему миру, большинство из которых находятся в США и Канаде, хотя также было зафиксировано большое количество вторжений. замечен в Бельгии, Германии, Японии, Малайзии, Польше, Тайване и Вьетнаме. Меньшее количество жертв обнаружено в Великобритании.
Вертикали, представляющие интерес для группы, включают органы государственного и государственного сектора, высокотехнологичные и ИТ-операции, телекоммуникационные компании, производственные и образовательные учреждения — все объекты, которые обычно считаются очень ценными для китайского государства.
Ларсен сказал, что UNC4841 показал себя очень отзывчивым на оборонительные усилия и активно изменяет свою тактику, методы и процедуры (TTP) после компрометации, чтобы сохранить доступ к среде жертвы.
Учитывая это, настоятельно рекомендуется, чтобы, несмотря на то, что они были исправлены в течение почти двух недель, всем клиентам Barracuda продолжали следить за присутствием UNC4841 в своих сетях, поскольку группа, вероятно, изменяет и модифицирует свои TTP даже сейчас и, вероятно, продолжит искать новые недостатки в периферийных устройствах в будущем.
Хронология кампании UNC4841 Barracuda
23–24 мая 2023 г.: Barracuda Networks заявила, что злоумышленники воспользовались нулевым днем для получения «несанкционированного доступа к определенному набору устройств шлюзов электронной почты», хотя не уточнила, сколько именно.
31 мая: Barracuda заявила, что уязвимость нулевого дня, используемая для атак на ее клиентов шлюза безопасности электронной почты, представляет собой уязвимость удаленного внедрения команд, эксплуатируемую по крайней мере с октября 2022 года.
9 июня: Владельцам устройств Barracuda Email Security Gateway сказали, что им придется выбросить и заменить свой комплект после того, как выяснилось, что исправление для недавно обнаруженной уязвимости не сработало.
15 июня: Разведка Mandiant связала использование уязвимости в подмножестве устройств Barracuda ESG с ранее не отслеживаемым злоумышленником, связанным с Китаем.
28 июля: CISA описала новый постоянный бэкдор — Submarine, используемый при атаках на устройства Barracuda Email Security Gateway, уязвимые для CVE-2023-2868.
24 августа: ФБР выпустило новое предупреждение после того, как Barracuda Networks опубликовала предупреждение о том, что исправлений для CVE-2023-2868 недостаточно и все затронутые устройства ESG необходимо заменить.
29 августа: Mandiant опубликовала подробную информацию о том, как UNC4841 был нацелен на высокопоставленных пользователей устройств шлюза безопасности электронной почты Barracuda Networks, включая правительственные учреждения, представляющие интерес для разведывательных целей Пекина.
