Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Grupo chino UNC4841 explota falla de día cero en Barracuda Email Security Gateway
  • Tecnología

Grupo chino UNC4841 explota falla de día cero en Barracuda Email Security Gateway

teknomers 15 de Haziran de 2023 (Last updated: 15 de Haziran de 2023) 4 minutes read
Grupo chino UNC4841 explota falla de día cero en Barracuda


15 de junio de 2023Ravie Lakshmanán

Un presunto actor de amenazas China-nexus apodado UNC4841 se ha relacionado con la explotación de una falla de día cero parcheada recientemente en los dispositivos Barracuda Email Security Gateway (ESG) desde octubre de 2022.

“UNC4841 es un actor de espionaje detrás de esta amplia campaña en apoyo de la República Popular China”, Mandiant, propiedad de Google. dicho en un nuevo informe publicado hoy, que describe al grupo como “agresivo y hábil”.

El defecto en cuestión es CVE-2023-2868 (puntuación CVSS: 9,8), que se relaciona con una inyección remota de código que afecta a las versiones 5.1.3.001 a 9.2.0.006 que surge como resultado de una validación incompleta de los archivos adjuntos contenidos en los correos electrónicos entrantes.

La seguridad cibernética

Barracuda abordó el problema el 20 y 21 de mayo de 2023, pero desde entonces la compañía instó a los clientes afectados a reemplazar de inmediato los dispositivos “independientemente del nivel de versión del parche”.

Ahora, según la firma de respuesta a incidentes e inteligencia de amenazas, que fue designada para investigar el ataque, se dice que UNC4841 envió correos electrónicos a las organizaciones víctimas que contenían archivos adjuntos TAR maliciosos que fueron diseñados para explotar el error desde el 10 de octubre de 2022.

Estos mensajes de correo electrónico contenían señuelos genéricos con mala gramática y, en algunos casos, valores de marcador de posición, una táctica elegida deliberadamente para disfrazar las comunicaciones como spam.

El objetivo, señaló, era ejecutar una carga útil de shell inverso en los dispositivos ESG específicos y entregar tres cepas de malware diferentes: SALTWATER, SEASIDE y SEASPY, para establecer la persistencia y ejecutar comandos arbitrarios, mientras los enmascara como módulos legítimos de Barracuda ESG. o servicios.

El adversario también implementó un rootkit de kernel llamado SANDBAR que está configurado para ocultar procesos que comienzan con un nombre específico, así como versiones troyanizadas de dos módulos Barracuda Lua válidos diferentes:

  • MARINA – Un iniciador para filtrar los archivos adjuntos de correo electrónico entrantes con un nombre de archivo particular y ejecuta una utilidad externa basada en C denominada WHIRLPOOL para crear un shell inverso TLS
  • VOLANTE – Un implante pasivo que escucha los encabezados y asuntos de los correos electrónicos entrantes y ejecuta el contenido presente en el campo de encabezado “Content-ID”

Se han identificado superposiciones de código fuente entre SEASPY y una puerta trasera disponible públicamente denominada cd00r y también entre SANDBAR y un rootkit de código abiertolo que sugiere que el actor reutilizó las herramientas existentes para orquestar las intrusiones.

PRÓXIMO SEMINARIO WEB

🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque

Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!

Únase a la sesión

UNC4841 tiene todas las características de un actor persistente, dada su capacidad para alterar rápidamente su malware y emplear mecanismos de persistencia adicionales cuando Barracuda inició los esfuerzos de contención después de descubrir la actividad el 19 de mayo de 2023.

En algunos casos, se observó que el actor de la amenaza aprovechaba el acceso a un dispositivo ESG comprometido para realizar un movimiento lateral hacia la red de la víctima o para enviar correo a otros dispositivos de la víctima. La exfiltración de datos implicó la captura de datos relacionados con el correo electrónico en un subconjunto de casos.

Los ataques de alta frecuencia, dijo Mandiant, se dirigieron a un número no especificado de organizaciones del sector público y privado ubicadas en al menos 16 países, con casi un tercio de entidades gubernamentales. El 55 % de las organizaciones afectadas están ubicadas en las Américas, seguidas por el 24 % en EMEA y el 22 % en la región de Asia-Pacífico.

“UNC4841 ha demostrado ser muy receptivo a los esfuerzos defensivos y modifica activamente los TTP para mantener sus operaciones”, dijo Mandiant, y agregó que espera que los actores “alteren sus TTP y modifiquen su conjunto de herramientas”.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Una decisión sorpresa de la princesa heredera Victoria – Nuevas tradiciones del solsticio de verano
Next: “Me gustan los dos por lo menos”: los pasajes más destacados de la salida de Conner Rousseau

Related Stories

Gracias a las quejas de los particulares, la CNIL multiplica
  • Tecnología

Gracias a las quejas de los particulares, la CNIL multiplica las sanciones por videovigilancia abusiva y cookies no conformes

teknomers 6 de Temmuz de 2026
Este error de Windows 11 puede consumir cientos de GB
  • Tecnología

Este error de Windows 11 puede consumir cientos de GB en tu SSD

teknomers 6 de Temmuz de 2026
Gigabyte redefine lo que un PC debe ser en 2026:
  • Tecnología

Gigabyte redefine lo que un PC debe ser en 2026: IA, creación, gaming… aquí está la generación que lo cambia todo.

teknomers 6 de Temmuz de 2026

You May Have Missed

  • General

El príncipe Harry no se alojará en el Palacio de Buckingham durante su visita al Reino Unido

teknomers 6 de Temmuz de 2026
Affaire Balogun: «Las tarjetas rojas no se anulan con llamados
  • Deporte

Affaire Balogun: «Las tarjetas rojas no se anulan con llamados políticos», Sepp Blatter critica a Trump e Infantino

teknomers 6 de Temmuz de 2026
  • Cultura

Gracias a su nueva atracción inmersiva, el parque Vulcania apunta a 400,000 visitantes

teknomers 6 de Temmuz de 2026
Gracias a las quejas de los particulares, la CNIL multiplica
  • Tecnología

Gracias a las quejas de los particulares, la CNIL multiplica las sanciones por videovigilancia abusiva y cookies no conformes

teknomers 6 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.