Google Cloud’un Mandiant ve Barracuda Ağları, Barracuda’nın E-posta Güvenliği Ağ Geçidi (ESG) cihazlarındaki sıfır gün güvenlik açığının, çoğunlukla ABD’deki devlet kurumlarını hedef alan aylar süren bir kampanyada UNC4841 olarak takip edilen şüpheli Çinli devlet korsanları tarafından yoğun şekilde istismar edildiğini doğruladı ve Kanada’da çok sayıda Birleşik Krallık kurbanının gözlemlenmesine rağmen.
CVE-2023-2868’in varlığı ilk olarak Mayıs 2023’te açıklandı, ancak 2022’nin sonlarından beri istismar ediliyordu. CVE-2023-2868 için bir yama 20 Mayıs’ta yayınlandı ve daha sonra etkisiz olduğu belirlendi ve Barracuda’nın tavsiyede bulunmasına yol açtı. etkilenen kuruluşların savunmasız cihazları atması ve yenisini araması.
Ancak Barracuda ve Mandiant, karışıklığa rağmen, o zamandan bu yana etkilenen cihazların hiçbirinde CVE-2023-2868’in yeniden kullanıldığını gözlemlemediklerini iddia ediyor, ancak FBI geçen hafta birçok cihazın hala çalışır durumda olduğuna dair bir flaş uyarısı yayınladı. Risk – soruşturmanın unsurlarını özetleyen yeni bir Mandiant yazısında da teyit edilen bir gerçek.
Makalesinde Mandiant, UNC4841’in karmaşık ve son derece uyarlanabilir kampanyasının hafifletme çabalarını nasıl sekteye uğrattığını ve yeni ve yeni kötü amaçlı yazılımların Pekin casuslarının yüksek değerli hedeflerin küçük bir alt kümesine erişimi sürdürmesine nasıl yardımcı olduğunu göstererek, yüksek oranda hedeflenen kampanya hakkında daha fazla bilgi ortaya çıkardı. Yamanın yayınlanmasına rağmen.
“Geniş ölçekte küresel casusluk kampanyalarını başarılı bir şekilde yürütmek için geniş kaynaklara, finansmana ve teknik kapasiteye sahip zorlu bir düşmanla karşı karşıya olduğumuz açıkça ortaya çıktı. Mandiant kıdemli olay müdahale danışmanı Austin Larsen, “Çin bağlantılı casusluk aktörleri operasyonlarını daha gizli, etkili ve etkili olacak şekilde geliştiriyor” dedi.
Mayıs ayından bu yana Mandiant, UNC4841’i yakından takip ediyor ve Kasım 2022’deki ilk faaliyet artışından yamanın yayınlandığı Mayıs 2023’teki artışa kadar, tehdit aktörünün kampanya sırasındaki faaliyetlerine ilişkin kapsamlı bir zaman çizelgesi derledi. ardından Haziran 2023’te daha önce açıklanmayan başka bir dalga.
İkinci dalgada Mandiant, UNC4841’in, Skipjack, Depthcharge, Foxtrot ve Foxglove adlı yeni tanımlanan üç kötü amaçlı yazılım aracılığıyla en değerli olduğunu düşündüğü tehlikeye atılmış ortamlara erişimini sürdürmeye çalıştığını keşfettiğini söyledi. Bunlardan ilk üçünün tamamı arka kapılardır ve Foxglove, Foxtrot için başlatıcı görevi görür.
Mandiant, gözlemlenen mağdurların yüzde 15’inden biraz fazlasının ulusal hükümet organları ve yüzde 10’dan biraz fazlasının da yerel yönetim organları olduğunu söyledi. Kampanya ayrıca ağırlıklı olarak yüksek teknoloji ve BT şirketlerini ve telekomünikasyon, imalat, yüksek öğrenim, havacılık ve savunma sektörlerinde faaliyet gösteren kuruluşları (Çin devletinin ilgi gösterdiği tüm sektörler) hedef aldı. Sistemlerinde arka kapı kötü amaçlı yazılımlarının tespit edildiği kurbanlar ağırlıklı olarak hükümete, yüksek teknolojiye ve BT kuruluşlarına yöneldi.
Mandiant, UNC4841’in Çin devleti için casusluk operasyonları yürüttüğünden emin olduğunu söyledi. UNC2286 olarak bilinen başka bir grupla bazı altyapı çakışmaları olmasına rağmen, kampanyayı önceden bilinen herhangi bir tehdit aktörüne bağlamanın mümkün olmadığını ekledi; Fortinet cihazlarını hedef alan başka bir kampanya da benzer kötü amaçlı yazılımlarla benzer şekilde çalışıyor gibi görünüyor. Bu mutlaka sağlam bir bağlantı olduğunu göstermez; Paylaşılan altyapı ve teknikler, Çin bağlantılı tehdit aktörleri arasında yaygındır.
Larsen ve raporun ortak yazarları John Palmisano, John Wolfram şunları yazdı: “Soruşturma boyunca, UNC4841’in savunma çabalarına son derece duyarlı olduğu kanıtlandı ve casusluk operasyonlarına devam etmek için kurban ortamlarında erişimi sürdürmek amacıyla TTP’leri aktif olarak değiştirdi.” , Mathew Potaczek ve Michael Raggi.
“Mandiant, etkilenen Barracuda müşterilerinin, güvenliği ihlal edilmiş bir ESG’den etkilenen ağlarda UNC4841 etkinliğini aramaya devam etmelerini şiddetle tavsiye ediyor. Mandiant, kanıtlanmış gelişmişlikleri ve erişimi sürdürme konusundaki kanıtlanmış arzuları nedeniyle, ağ savunucuları bu düşmana karşı harekete geçmeye devam ettikçe ve faaliyetleri güvenlik topluluğu tarafından daha da açığa çıktıkça, UNC4841’in TTP’lerini değiştirmeye ve araç kitlerini değiştirmeye devam etmesini bekliyor. Mandiant, UNC4841’in gelecekte de uç cihazları kullanmaya devam edeceğini öngörüyor” dedi.