Un presunto actor de amenazas China-nexus apodado UNC4841<\/strong> se ha relacionado con la explotaci\u00f3n de una falla de d\u00eda cero parcheada recientemente en los dispositivos Barracuda Email Security Gateway (ESG) desde octubre de 2022.<\/p>\n “UNC4841 es un actor de espionaje detr\u00e1s de esta amplia campa\u00f1a en apoyo de la Rep\u00fablica Popular China”, Mandiant, propiedad de Google. dicho<\/a> en un nuevo informe publicado hoy, que describe al grupo como “agresivo y h\u00e1bil”.<\/p>\n El defecto en cuesti\u00f3n es CVE-2023-2868<\/a> (puntuaci\u00f3n CVSS: 9,8), que se relaciona con una inyecci\u00f3n remota de c\u00f3digo que afecta a las versiones 5.1.3.001 a 9.2.0.006 que surge como resultado de una validaci\u00f3n incompleta de los archivos adjuntos contenidos en los correos electr\u00f3nicos entrantes.<\/p>\n Barracuda abord\u00f3 el problema el 20 y 21 de mayo de 2023, pero desde entonces la compa\u00f1\u00eda inst\u00f3 a los clientes afectados a reemplazar de inmediato los dispositivos “independientemente del nivel de versi\u00f3n del parche”.<\/p>\n Ahora, seg\u00fan la firma de respuesta a incidentes e inteligencia de amenazas, que fue designada para investigar el ataque, se dice que UNC4841 envi\u00f3 correos electr\u00f3nicos a las organizaciones v\u00edctimas que conten\u00edan archivos adjuntos TAR maliciosos que fueron dise\u00f1ados para explotar el error desde el 10 de octubre de 2022.<\/p>\n Estos mensajes de correo electr\u00f3nico conten\u00edan se\u00f1uelos gen\u00e9ricos con mala gram\u00e1tica y, en algunos casos, valores de marcador de posici\u00f3n, una t\u00e1ctica elegida deliberadamente para disfrazar las comunicaciones como spam.<\/p>\n El objetivo, se\u00f1al\u00f3, era ejecutar una carga \u00fatil de shell inverso en los dispositivos ESG espec\u00edficos y entregar tres cepas de malware diferentes: SALTWATER, SEASIDE y SEASPY, para establecer la persistencia y ejecutar comandos arbitrarios, mientras los enmascara como m\u00f3dulos leg\u00edtimos de Barracuda ESG. o servicios.<\/p>\n El adversario tambi\u00e9n implement\u00f3 un rootkit de kernel llamado SANDBAR que est\u00e1 configurado para ocultar procesos que comienzan con un nombre espec\u00edfico, as\u00ed como versiones troyanizadas de dos m\u00f3dulos Barracuda Lua v\u00e1lidos diferentes:<\/p>\n Se han identificado superposiciones de c\u00f3digo fuente entre SEASPY y una puerta trasera disponible p\u00fablicamente denominada cd00r<\/a> y tambi\u00e9n entre SANDBAR y un rootkit de c\u00f3digo abierto<\/a>lo que sugiere que el actor reutiliz\u00f3 las herramientas existentes para orquestar las intrusiones.<\/p>\n \ud83d\udd10 Dominio de la seguridad de API: comprensi\u00f3n de su verdadera superficie de ataque<\/p>\n Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/1685807016_716_La-FTC-condena-a-Amazon-con-una-multa-de-308.jpg\")
<\/a><\/center><\/div>\n![\"\"](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj5ZzKTfu5q4bV_gaDt6NZzOUIkgCVdsH3_gKar4Ra6Ccu30NOH-LDSXJyCXoJbcd4pt9oHCoyRc0qVX6lS-k0VDCtYR5UIpi2xB-9WIAscd8vdB3GGOveDnFDbwjFClR4oMjCUkTIVFUac0csMESQAAb8DGvAPXMv1H_A_CWZWAFdj8MRw_h872Ce6\/s728-e365\/barracuda-fig1.png\")
<\/div>\n\n