Dalış Özeti:
- FBI, Çin Halk Cumhuriyeti’ne bağlı bilgisayar korsanlarının hâlâ Barracuda Network’ün Email Security Gateway cihazlarındaki sıfır gün güvenlik açığından yararlanmaya çalıştığını söyledi. Çarşamba günü bir uyarı yayınlandı.
- FBI, bilgisayar korsanlarının hala etkisiz olan CVE-2023-2868 güvenlik açığı yamalarından yararlanabileceğini söyledi. Etkilenen tüm cihazların internet bağlantısı kesilmeli ve değiştirilmelidir.
- PRC bağlantılı bilgisayar korsanları, ESG cihazlarına kötü amaçlı yükler yerleştirmek ve birden fazla saldırı türü gerçekleştirmek, kalıcı erişim elde etmek, e-postaları taramak, kimlik bilgilerini toplamak ve depolanan verileri dışarı çıkarmak için bu güvenlik açığından yararlandı.
Dalış Bilgisi:
Güvenlik açığı, FBI’a göre saldırganların cihazlarda yönetici ayrıcalıklarıyla yetkisiz komutlar yürütmesine olanak tanıyan bir uzaktan komut ekleme güvenlik açığıdır.
Bilgisayar korsanları TAR dosyası ekleri oluşturdular ve .tar uzantılarının yanı sıra .jpg veya .dat’ı kullanarak e-postalar gönderdiler. Bilgisayar korsanları eylemlerini gizlemek için karşı adli teknikler de kullandılar.
Haziran ayında Barracuda, güvenlik açığının Ekim ayından bu yana aktif olarak kullanılması nedeniyle müşterilerini ele geçirilen cihazları değiştirmeye çağırdı. Tekrarlanan yamalar devam eden tehdit faaliyetlerine karşı koruma sağlayamadı.
Barracuda Mandiant’la çalışıyor saldırılara yanıt vermek için harekete geçti ve 20 Mayıs yamasının yayınlanmasından sonra başarılı saldırılara dair herhangi bir kanıt bulamadı. Austin Larsen, Google Cloud’un bir birimi olan Mandiant’ın kıdemli olay müdahale yöneticisi.
Larsen, e-posta yoluyla şunları söyledi: “Ancak tehdit aktörü, halihazırda ele geçirilen cihazlara ek kötü amaçlı yazılım dağıttı ve istismar sonrası ek faaliyetler gerçekleştirdi.”
Haziran ayında yemek yiyorlar Bilgisayar korsanlarını gösteren araştırma yayınlandı geniş ve karmaşık bir casusluk kampanyasına dahil olmuşlardı.
Mandiant’a göre, daha önce güvenlik açığından etkilenen sınırlı sayıda kurban, Barracuda’nın cihazlarını değiştirme yönündeki rehberliğine uymadı ve hâlâ saldırı riskiyle karşı karşıya kaldı.
Larsen, Mandiant’ın UNC4841 olarak tanımladığı tehdit aktörünün “öncelikli kurbanlardan oluşan bir alt kümeye özel ilgi gösterdiğini” söyledi.
Larsen, bilgisayar korsanlarının, iyileştirme çabalarına yanıt olarak kalıcılığı korumak için Depthcharge adlı kötü amaçlı yazılım da dahil olmak üzere ek kötü amaçlı yazılımlar kullandıklarını söyledi.
Siber Güvenlik ve Altyapı Güvenliği Ajansı bu ayın başlarında Barracuda saldırılarıyla ilişkili kötü amaçlı yazılımlara ilişkin ek analiz yayınladı.
Şirket Çarşamba günü müşterilere yönelik rehberliğinin tutarlı kaldığını söyledi. Bildirim alan veya Barracuda’dan bir teknik destek temsilcisiyle iletişime geçen kuruluşlar satıcıyla iletişime geçmelidir Cihazı değiştirmek için.
FBI, cihaz müşterilerini e-posta günlüklerini incelemeye, cihazlarda kullanılan kimlik bilgilerini iptal edip yeniden göndermeye ve ağ günlüklerini sızma ve yanal hareket belirtileri açısından incelemeye çağırıyor.