Şüpheli bir China-nexus tehdit aktörü lakaplı UNC4841 Ekim 2022’den bu yana Barracuda E-posta Güvenlik Ağ Geçidi (ESG) cihazlarında yakın zamanda yamalanan bir sıfır gün kusurunun istismarıyla bağlantılı.
Google’a ait Mandiant, bugün yayınlanan yeni bir raporda, grubu “agresif ve yetenekli” olarak tanımlayarak, “UNC4841, Çin Halk Cumhuriyeti’ni destekleyen bu geniş kapsamlı kampanyanın arkasındaki casusluk aktörüdür” dedi.
Söz konusu kusur CVE-2023-2868’dir (CVSS puanı: 9.8), gelen e-postalarda bulunan eklerin eksik doğrulanmasının bir sonucu olarak ortaya çıkan, 5.1.3.001’den 9.2.0.006’ya kadar olan sürümleri etkileyen bir uzaktan kod enjeksiyonuyla ilgilidir.
Barracuda, 20 ve 21 Mayıs 2023 tarihlerinde sorunu ele aldı, ancak o zamandan beri şirket, etkilenen müşterileri “yama sürüm düzeyi ne olursa olsun” cihazları hemen değiştirmeye çağırdı.
Saldırıyı araştırmakla görevlendirilen olay müdahale ve tehdit istihbarat firmasına göre, UNC4841’in kurban kuruluşlara 10 Ekim 2022 gibi erken bir tarihte, açıktan yararlanmak için tasarlanmış kötü amaçlı TAR dosya ekleri içeren e-postalar gönderdiği söyleniyor.
Bu e-posta mesajları, dilbilgisi zayıf olan jenerik yemler ve bazı durumlarda, iletişimleri spam olarak gizlemek için kasıtlı olarak seçilmiş bir taktik olan yer tutucu değerler içeriyordu.
Hedefin, hedeflenen ESG cihazlarında bir ters kabuk yükü yürütmek ve üç farklı kötü amaçlı yazılım türünü (SALTWATER, SEASIDE ve SEASPY) teslim etmek olduğunu belirtti. veya hizmetler.
Ayrıca düşman tarafından konuşlandırılan, SANDBAR adlı, belirli bir adla başlayan işlemleri ve iki farklı geçerli Barracuda Lua modülünün trojenleştirilmiş sürümlerini gizlemek üzere yapılandırılmış bir çekirdek rootkit’idir –
- DENİZ SPREYİ – Belirli bir dosya adına sahip gelen e-posta eklerini taramak için bir başlatıcı ve bir TLS ters kabuğu oluşturmak için WHIRLPOOL adlı harici bir C tabanlı yardımcı programı çalıştırır
- krikoyu atla – Gelen e-posta başlıklarını ve konularını dinleyen ve “Content-ID” başlık alanında bulunan içeriği yürüten pasif bir implant
SEASPY ile cd00r olarak anılan halka açık bir arka kapı arasında ve ayrıca SANDBAR ile açık kaynaklı bir rootkit arasında kaynak kodu çakışmaları tespit edildi ve bu, aktörün izinsiz girişleri düzenlemek için mevcut araçları yeniden tasarladığını gösteriyor.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Oturuma Katılın
UNC4841, Barracuda’nın 19 Mayıs 2023’te etkinliği keşfettikten sonra çevreleme çabalarını başlatmasıyla, kötü amaçlı yazılımını hızlı bir şekilde değiştirme ve ek kalıcılık mekanizmaları kullanma becerisi göz önüne alındığında, ısrarcı bir aktörün tüm ayırt edici özelliklerine sahiptir.
Bazı durumlarda, tehdit aktörünün, kurbanın ağına yatay geçiş yapmak veya diğer kurban cihazlarına posta göndermek için güvenliği ihlal edilmiş bir ESG cihazına erişimden yararlandığı gözlemlendi. Veri hırsızlığı, bir vaka alt kümesinde e-postayla ilgili verilerin ele geçirilmesini gerektirdi.
Mandiant, yüksek frekanslı saldırıların en az 16 ülkede bulunan ve neredeyse üçte biri devlet kurumu olmak üzere belirsiz sayıda özel ve kamu sektörü kuruluşunu hedef aldığını söyledi. Etkilenen kuruluşların %55’i Amerika’da, ardından %24’ü EMEA’da ve %22’si Asya-Pasifik bölgesinde bulunuyor.
Mandiant, “UNC4841, savunma çabalarına son derece duyarlı olduğunu ve operasyonlarını sürdürmek için TTP’leri aktif olarak değiştirdiğini gösterdi” dedi ve aktörlerin “TTP’lerini değiştirmelerini ve araç setlerini değiştirmelerini” beklediğini de sözlerine ekledi.