Şüpheli bir China-nexus tehdit aktörü olarak adlandırıldı UNC4841 Ekim 2022’den bu yana Barracuda E-posta Güvenlik Ağ Geçidi (ESG) cihazlarında yakın zamanda yamalanan bir sıfır gün kusurunun istismarıyla bağlantılı.
Google’ın sahibi olduğu Mandiant, “UNC4841, Çin Halk Cumhuriyeti’ni destekleyen bu geniş kapsamlı kampanyanın arkasındaki casusluk aktörüdür” dedi. söz konusu bugün yayınlanan yeni bir raporda, grubu “agresif ve yetenekli” olarak tanımlıyor.
Söz konusu kusur CVE-2023-2868 (CVSS puanı: 9.8), gelen e-postalarda bulunan eklerin eksik doğrulanmasının bir sonucu olarak ortaya çıkan, 5.1.3.001 ile 9.2.0.006 arasındaki sürümleri etkileyen bir uzaktan kod enjeksiyonuyla ilgilidir.
Barracuda, 20 ve 21 Mayıs 2023 tarihlerinde sorunu ele aldı, ancak o zamandan beri şirket, etkilenen müşterileri “yama sürüm düzeyi ne olursa olsun” cihazları hemen değiştirmeye çağırdı.
Saldırıyı araştırmakla görevlendirilen olay müdahale ve tehdit istihbarat firmasına göre, UNC4841’in kurban kuruluşlara 10 Ekim 2022 gibi erken bir tarihte, açıktan yararlanmak için tasarlanmış kötü amaçlı TAR dosya ekleri içeren e-postalar gönderdiği söyleniyor.
Bu e-posta mesajları, dilbilgisi zayıf olan jenerik yemler ve bazı durumlarda, iletişimleri spam olarak gizlemek için kasıtlı olarak seçilmiş bir taktik olan yer tutucu değerler içeriyordu.
Hedefin, hedeflenen ESG cihazlarında bir ters kabuk yükü yürütmek ve üç farklı kötü amaçlı yazılım türünü (SALTWATER, SEASIDE ve SEASPY) teslim etmek olduğunu belirtti. veya hizmetler.
Ayrıca düşman tarafından konuşlandırılan, SANDBAR adlı, belirli bir adla başlayan işlemleri ve iki farklı geçerli Barracuda Lua modülünün trojenleştirilmiş sürümlerini gizlemek üzere yapılandırılmış bir çekirdek rootkit’idir –
- DENİZ SPREYİ – Belirli bir dosya adına sahip gelen e-posta eklerini taramak için bir başlatıcı ve bir TLS ters kabuğu oluşturmak için WHIRLPOOL adlı harici bir C tabanlı yardımcı programı çalıştırır
- SKIPJACK – Gelen e-posta başlıklarını ve konularını dinleyen ve “Content-ID” başlık alanında bulunan içeriği yürüten pasif bir implant
SEASPY ile halka açık bir arka kapı arasında kaynak kodu çakışmaları tespit edilmiştir. cd00r ve ayrıca SANDBAR ve bir arasında açık kaynak rootkitoyuncunun izinsiz girişleri düzenlemek için mevcut araçları yeniden tasarladığını öne sürüyor.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
UNC4841, Barracuda’nın 19 Mayıs 2023’te etkinliği keşfettikten sonra çevreleme çabalarını başlatmasıyla, kötü amaçlı yazılımını hızlı bir şekilde değiştirme ve ek kalıcılık mekanizmaları kullanma becerisi göz önüne alındığında, ısrarcı bir aktörün tüm ayırt edici özelliklerine sahiptir.
Bazı durumlarda, tehdit aktörünün, kurbanın ağına yatay geçiş yapmak veya diğer kurban cihazlarına posta göndermek için güvenliği ihlal edilmiş bir ESG cihazına erişimden yararlandığı gözlemlendi. Veri hırsızlığı, bir vaka alt kümesinde e-postayla ilgili verilerin yakalanmasını gerektirdi.
Mandiant, yüksek frekanslı saldırıların en az 16 ülkede bulunan ve neredeyse üçte biri devlet kurumu olmak üzere belirsiz sayıda özel ve kamu sektörü kuruluşunu hedef aldığını söyledi. Etkilenen kuruluşların %55’i Amerika’da, ardından %24’ü EMEA’da ve %22’si Asya-Pasifik bölgesinde bulunuyor.
Mandiant, “UNC4841, savunma çabalarına son derece duyarlı olduğunu ve operasyonlarını sürdürmek için TTP’leri aktif olarak değiştirdiğini gösterdi” dedi ve aktörlerin “TTP’lerini değiştirmelerini ve araç setlerini değiştirmelerini” beklediğini de sözlerine ekledi.