Bu ses otomatik olarak oluşturulmuştur. Geri bildiriminiz varsa lütfen bize bildirin.
Dalış Özeti:
- Mandiant tarafından Perşembe günü yayınlanan bir rapora göre, Çin ile bağlantılı olduğundan şüphelenilen bir tehdit aktörü, Çin Halk Cumhuriyeti’ni desteklemek için yaygın bir casusluk kampanyası başlatmak için güvenliği ihlal edilmiş Barracuda Email Security Gateway SG cihazlarının bir alt kümesini kullanıyor.
- UNC4841 olarak izlenen tehdit aktörü, Mayıs ayında açıklanan sıfır gün güvenlik açığından yararlanmak için Ekim 2022’den bu yana kötü amaçlı ekler içeren e-postalar gönderiyor. Bilgisayar korsanları, hedeflenen sistemlerde varlığını sürdürmek için çeşitli özel kötü amaçlı yazılımlar kullandı ve istismarın çoğu Amerika’da gerçekleşti.
- Google Cloud Mandiant Consulting’in CTO’su Charles Carmakal yaptığı açıklamada, “Bu, 2021’de Microsoft Exchange’in toplu sömürüsünden bu yana bir Çin-nexus tehdit aktörü tarafından yürütüldüğü bilinen en geniş siber casusluk kampanyasıdır” dedi. “Barracuda örneğinde, tehdit aktörü yüzlerce kuruluşun e-posta güvenlik cihazlarını ele geçirdi.”
Dalış Bilgisi:
Barracuda, Mandiant’ı, CVE-2023-2868 olarak izlenen sıfır günün Ekim ayından bu yana aktif olarak sömürü altında olduğunu ifşa ettikten sonra Mayıs ayında araştırması için tuttu. Barracuda, uzaktan komut yerleştirme güvenlik açığı için çok sayıda güvenlik yaması yayınladı ve daha geçen hafta müşterilerini güvenliği ihlal edilmiş cihazları değiştirmeye çağırdı.
Dünya çapındaki Barracuda ESG cihazlarının yaklaşık %5’i uzlaşma belirtileri göstermiştir. Google Cloud Mandiant’ın üst düzey olay müdahale danışmanı Austin Larsen’e göre, şirketin 20 Mayıs’ta bir yama yayımlamasının ardından başarılı bir şekilde istismar edildiğine dair bir kanıt yok.
Mandiant araştırmacıları, tehdit aktörünün cihazlarda varlığını sürdürmek için Saltwater, Seaspy ve Seaside olarak tanımlanan üç ana kod ailesine güvendiğini söyledi. Kod aileleri, meşru ESG cihazları gibi görünmek için kullanıldı. Ekim ayındaki ilk e-postalarda özel hazırlanmış TAR dosya ekleri kullanıldı.
Tehdit aktörünün, hırsızlık için belirli verileri hedeflediği, bazı durumlarda yanal olarak bir ağa geçmek veya diğer cihazlara posta göndermek için bir ESG cihazına erişimden yararlandığı görüldü.
Barracuda 21 Mayıs’ta yamaları yayınladıktan sonra, bilgisayar korsanları kötü amaçlı yazılımı değiştirmeye başladı ve kalıcılığı sürdürmek için ek önlemler aldı. Mandiant raporuna göre, 22 Mayıs’tan 24 Mayıs’a kadar grup, dörtte biri devlet kurumları olmak üzere 16 farklı ülkedeki kuruluşları hedef almak için operasyonlarını hızlandırdı.
İstismar faaliyetinin yaklaşık %55’i, Barracuda cihazlarının geniş çapta konuşlandırıldığı Amerika’da gerçekleşti. Güvenliği ihlal edilmiş ESG’ler, ASEAN Dışişleri Bakanlığı, dış ticaret ofisleri ve Tayvan ve Hong Kong’daki akademik araştırma kuruluşlarındaki kişileri hedef almak için kullanıldı.
Siber Güvenlik ve Altyapı Güvenliği Ajansı, kuruluşları güncellenmiş bir Barracuda danışma belgesini gözden geçirmeye ve etkilenen tüm kullanıcıları uzlaşma göstergelerini aramaya ve hafifletme adımlarını izlemeye çağırıyor.
Barracuda cihazlarını yönetmek için Active Directory Domain Admin gibi kurumsal ayrıcalıklı kimlik bilgilerini kullananlar için CISA, kullanıcıları cihazlarında kullanılan tüm kimlik bilgilerinin davranışını doğrulamaya çağırıyor.
Barracuda, ikame ürünü ücretsiz olarak sağladığını ve olayla ilgili şeffaflık sağlamayı taahhüt ettiğini söyledi.