Barracuda yaması, Çin bağlantılı tehdit grubunun yeni kötü amaçlı yazılımı tarafından atlandı


Bu ses otomatik olarak oluşturulmuştur. Geri bildiriminiz varsa lütfen bize bildirin.

Barracuda e-posta güvenliği ağ geçidi cihazları, bir siber casusluk kampanyası tarafından vuruldu. İyileştirme çabalarını atlayan Çin bağlantılı tehdit grubu Mandiant’ın Salı günü yayınladığı araştırmaya göre, yüksek değere sahip hedeflere yönelik saldırılar gerçekleştirmeye devam etti.

UNC4841 olarak listelenen tehdit grubu, Barracuda cihazları için güvenlik güncellemeleri yayınlandıktan sonra bile belirli yüksek öncelikli hedef kuruluşların bir alt kümesinde varlığını sürdürmek üzere tasarlanmış gelişmiş kötü amaçlı yazılımlar kullandı.

Barracuda ve Mandiant, uzaktan komut ekleme güvenlik açığından başarılı bir şekilde yararlanıldığına dair hiçbir kanıt görmediklerini söyledi. CVE-2023-2868Barracuda 20 Mayıs’ta bir yama yayınladığından beri.

Barracuda CISO Riaz Lakhani, Cybersecurity Dive’a yamanın sıfır gün güvenlik açığını tamamen giderdiğini ve ele geçirilen cihazlara, tehdit aktörünün eylemlerine karşı ek yamalar verildiğini söyledi.

Lakhani, e-posta yoluyla “Çok ihtiyatlı davranarak, Barracuda’nın tehlikeye atılan herhangi bir cihaz için önerdiği düzeltmenin değiştirilmesi olduğunu” söyledi ve güvenliği ihlal edilen müşterilere şirketin destek hattıyla iletişime geçmeleri söylendiğini belirtti.

Haziran ayında Mandiant, bilgisayar korsanlarının büyük bir siber casusluk kampanyasına dahil olduklarını ve bu cihazlardan yararlanarak ABD ve yurtdışındaki hedeflenen devlet dairelerine ve özel sektör şirketlerine kötü amaçlı e-posta ekleri gönderdiklerini açıklamıştı.

Mandiant, Kuzey Amerika’daki hükümet hedeflerinin çoğunun eyalet ve yerel yönetimleri, yargıyı, kolluk kuvvetlerini, sosyal hizmetleri ve çeşitli anonim kasabaları içerdiğini söyledi. Gözlemlenen uzlaşmaların çoğu, kampanyanın ilk aylarında, yani Ekim-Aralık 2022 arasında gerçekleşti.

FBI flaş alarm verdi ağustos ayının sonlarında Çin Halk Cumhuriyeti’ne bağlı bilgisayar korsanlarının cihazları kullanmaya devam ettiğini söyleyerek kullanıcıları etkilenen Barracuda ESG cihazlarını izole etmeleri ve değiştirmeleri konusunda uyardı.

Mandiant’a göre, sınırlı sayıdaki yüksek değerli hedefler hâlâ tehlikeye girme riskiyle karşı karşıya çünkü kötü amaçlı yazılım, iyileştirme çabaları başladıktan sonra bile hedeflenen şirketlerin, devlet kurumlarının veya diğer kuruluşların sistemlerinde kalıcılığı sürdürmek üzere tasarlandı.

Google Cloud’un bir birimi olan Mandiant’ın kıdemli olay müdahale danışmanı Austin Larsen, “Bu kampanyada kullanılan kötü amaçlı yazılım ailelerinin çoğu, Barracuda ESG cihazları için özel olarak tasarlandı; bu, aktörün kötü amaçlı yazılımlarını özel olarak bu kampanya için hazırladığını ve uyarladığını gösteriyor” dedi. e-posta yoluyla.

Tehdit grubu, Mandiant’ın Depthcharge adını verdiği pasif bir arka kapı kötü amaçlı yazılımını 30 Mayıs gibi erken bir tarihte devreye aldı. Barracuda’nın aktif olarak yararlanılan sıfır gün güvenlik açığını açıklamasından sonraki hafta ve saldırılara karşı koymaya yönelik iyileştirme çabaları konusunda müşterilere bilgi verdi.

Mandiant’a göre, ele geçirilen cihazların yaklaşık %2,6’sında derinlik yükü bulundu. Hedefler arasında ABD ve yabancı devlet kurumları, teknoloji firmaları ve BT sağlayıcıları yer alıyordu.

Mandiant, meşru ESG modüllerine kötü amaçlı Lua kodu yerleştirmeyi içeren pasif bir arka kapı olan Skipjack’in de aralarında bulunduğu ek kötü amaçlı yazılım tespit etti. Mandiant’a göre Skipjack, ele geçirilen cihazların %5,8’inde bulundu.

Üçüncü kötü amaçlı yazılım ailesi Foxtrot/Foxglove, Barracuda ESG cihazları için özel olarak tasarlanmadığı için dikkat çekicidir. Kötü amaçlı yazılım, Çin Halk Cumhuriyeti tarafından yüksek değerli hedefler olarak kabul edilen hükümet veya hükümetle ilgili kuruluşlarda seçici olarak kullanıldı.

Siber Güvenlik ve Altyapı Güvenliği Ajansı Salı günü yeni uzlaşma göstergeleri de dahil olmak üzere saldırılarla ilgili ek bilgiler yayınladı.



Source link