UNC4841 olarak takip edilen ve geçen yıl Barracuda Networks’ün E-posta Güvenliği Ağ Geçidi (ESG) cihazlarının kullanıcılarına uzaktan kod yürütme (RCE) güvenlik açığı aracılığıyla saldıran Çin devleti tehdit aktörü, yüksek güvenlikli verileri hedef almak için yeni açıklanan sıfır günü kullanarak yeniden faaliyete geçti. Barracuda müşterilerinin profilini oluşturun.
Barracuda, bu güvenlik açığını Noel arifesinde, tüm aktif ESG cihazlarına bir güncelleme dağıttıktan üç gün sonra resmen açıkladı, ancak UNC4841, Seaspy ve Saltwater kötü amaçlı yazılımlarının yeni varyantlarını “sınırlı sayıda” cihaza dağıtmak için bundan yararlanmadan önce değil.
Söz konusu güvenlik açığı, CVE-2023-7102, ESG üzerinde çalışan açık kaynak Amavis virüs tarayıcısı tarafından kullanılan bir Perl modülü olan Spreadsheet::ParseExcel açık kaynak kitaplığında bulunan rastgele bir kod yürütme (ACE) kusurudur. Aletler.
28 Aralık 2023’te Computer Weekly’nin kardeş başlığı TechTarget Security’ye konuşan ve Mayıs 2023’teki açıklamalardan bu yana Barracuda ile kapsamlı bir şekilde çalışan Mandiant kıdemli olay müdahale danışmanı Austin Larsen şunları söyledi: “Mandiant, bu kampanyanın bir parçası olarak yaklaşık 30 Kasım 2023’te başlatıldığına inanıyor. UNC4841’in devam eden casusluk operasyonlarından.
“Barracuda, güvenlik açığını ve yeni tanımlanan kötü amaçlı yazılım varyantları tarafından tehlikeye atılmış olabilecek ESG cihazlarını düzeltmek için güncellemeler dağıtarak derhal yanıt verdi” dedi.
Mandiant’a göre, hedefin özel hazırlanmış Excel eki içeren bir e-posta alması durumunda güvenlik açığından kolaylıkla yararlanılabilir. Barracuda ESG cihazı bu gelen e-postayı taradığında kod, kullanıcıdan herhangi bir giriş yapılmadan yürütülür ve bu da onu özellikle tehlikeli hale getirir.
Barracuda, güncellemenin otomatik olarak dağıtılması nedeniyle müşterilerinin başka bir işlem yapmasına gerek olmadığını söyledi.
İkinci atama
Ancak hikaye burada bitmiyor. Savunmasız Perl modülünün başkaları tarafından daha geniş bir bağlamda kullanıldığı göz önüne alındığında, ACE kusuruna ayrıca CVE-2023-7101 adlı ikinci bir ad verildi.
Yama yönetimi uzmanı Action1’in başkanı ve kurucu ortağı Mike Walters, “Bu Perl modülü Excel dosyalarını ayrıştırmak için kullanılıyor” dedi. “Spreadsheet::ParseExcel’deki güvenlik açığı, doğrulanmamış giriş verilerinin bir dosyadan dize türüyle “eval” işlevine aktarılmasından kaynaklanıyor.
“Özellikle sorun, Excel’in ayrıştırma mantığındaki sayısal biçim dizelerinin değerlendirilmesiyle ilgilidir” dedi.
“Çözümlerinde Spreadsheet::ParseExcel kullanan kuruluşların CVE-2023-7101’i incelemesi ve gerekli düzeltme adımlarını derhal atması tavsiye edilir. Bu bilinen aktörün yeni kampanyasıyla ilgili olarak uzmanlar, APT’nin hâlâ daha fazla sıfır gün sayısına sahip olduğuna ve bunların büyük hedeflere yönelik saldırılarda dikkatli bir şekilde kullanılacağına inanıyor.”
Çok yıllı kampanya
UNC4841’in Barracuda Networks ürünlerine olan ilgisi bu noktada bir yıldan fazla bir süre öncesine dayanıyor; CVE-2023-2868 civarındaki ilk faaliyeti Ekim 2022’de başlıyor ve Kasım ayının başında kurban sayısında ilk artış yaşanıyor. Mayıs 2023’teki açıklamadan bu yana sonraki faaliyet dalgaları devam etti ve Haziran ayında en yüksek yoğunluğuna ulaştı.
Grup, çoğunluğu ABD ve Kanada’da olmak üzere, dünya çapındaki yüksek öncelikli hedeflere seçici olarak konuşlandırılmak üzere tasarlanmış çeşitli kötü amaçlı yazılım ailelerinden oluşan “iyi kaynaklara sahip” bir operasyon olarak tanımlanıyor, ancak çok sayıda izinsiz giriş de gerçekleşti. Belçika, Almanya, Japonya, Malezya, Polonya, Tayvan ve Vietnam’da görülüyor. İngiltere’de daha az sayıda kurban bulundu.
Grubun ilgilendiği dikey alanlar arasında hükümet ve kamu sektörü kurumları, yüksek teknoloji ve BT operasyonları, telekomünikasyon şirketleri, üretim ve eğitim kurumları yer alıyor ve bunların tümü genellikle Çin devleti için yüksek değer taşıdığı düşünülen hedefleri içeriyor.
Larsen, UNC4841’in savunma çabalarına son derece duyarlı olduğunu gösterdiğini ve kurban ortamlarına erişimi sürdürmek için taviz sonrasında taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) aktif olarak değiştirdiğini söyledi.
Bu göz önüne alındığında, neredeyse iki haftadır yamalanmış olsalar bile tüm Barracuda müşterilerinin UNC4841’in ağlarındaki varlığını izlemeye devam etmeleri şiddetle tavsiye edilir, çünkü grup muhtemelen şu anda bile TTP’lerini değiştiriyor ve değiştiriyor ve muhtemelen devam edecek. İleriye yönelik ileri teknoloji cihazlarda yeni kusurlar aramak.