Un presunto grupo de hackers del nexo chino aprovech\u00f3 una falla de d\u00eda cero recientemente revelada en los dispositivos Email Security Gateway (ESG) de Barracuda Networks para violar los sectores gubernamental, militar, de defensa y aeroespacial, industria de alta tecnolog\u00eda y telecomunicaciones como parte de una campa\u00f1a de espionaje global. .<\/p>\n
Mandiant, que sigue la actividad bajo el nombre UNC4841<\/strong>describi\u00f3 al actor de amenazas como “altamente receptivo a los esfuerzos defensivos” y capaz de modificar activamente su modus operandi para mantener un acceso persistente a los objetivos.<\/p>\n “UNC4841 implement\u00f3 malware nuevo y novedoso dise\u00f1ado para mantener la presencia en un peque\u00f1o subconjunto de objetivos de alta prioridad que comprometi\u00f3 antes de que se lanzara el parche o poco despu\u00e9s de la gu\u00eda de remediaci\u00f3n de Barracuda”, la firma de inteligencia de amenazas propiedad de Google. dicho<\/a> en un nuevo informe t\u00e9cnico publicado hoy.<\/p>\n Casi un tercio de las organizaciones afectadas identificadas son agencias gubernamentales. Curiosamente, algunos de los primeros compromisos parecen haber tenido lugar en un peque\u00f1o n\u00famero de dispositivos geolocalizados en China continental.<\/p>\n Los ataques implican la explotaci\u00f3n de CVE-2023-2868 para implementar malware y realizar actividades posteriores a la explotaci\u00f3n. En casos selectos, las intrusiones han llevado a la implementaci\u00f3n de malware adicional, como SUBMARINE (tambi\u00e9n conocido como DEPTHCHARGE), para mantener la persistencia en respuesta a los esfuerzos de remediaci\u00f3n.<\/p>\n Un an\u00e1lisis m\u00e1s detallado de la campa\u00f1a ha revelado una “disminuci\u00f3n clara de la actividad aproximadamente del 20 al 22 de enero de 2023”, coincidiendo con el comienzo del A\u00f1o Nuevo chino, seguida de dos aumentos, uno despu\u00e9s de la notificaci\u00f3n p\u00fablica de Barracuda el 23 de mayo de 2023. y un segundo a principios de junio de 2023.<\/p>\n Se dice que esto \u00faltimo implic\u00f3 que el atacante “intenta mantener el acceso a entornos comprometidos mediante el despliegue de las nuevas familias de malware SKIPJACK, DEPTHCHARGE y FOXTROT\/FOXGLOVE”.<\/p>\n Si bien SKIPJACK es un implante pasivo que registra un oyente para encabezados de correo electr\u00f3nico entrantes espec\u00edficos antes de decodificar y ejecutar su contenido, DEPTHCHARGE est\u00e1 precargado en el demonio Barracuda SMTP (BSMTP) utilizando la variable de entorno LD_PRELOAD y recupera comandos cifrados para su ejecuci\u00f3n.<\/p>\n El primer uso de DEPTHCHARGE se remonta al 30 de mayo de 2023, apenas unos d\u00edas despu\u00e9s de que Barracuda revelara p\u00fablicamente la falla. Mandiant dijo que observ\u00f3 que el malware se implementaba r\u00e1pidamente en un subconjunto de objetivos, lo que indica un alto nivel de preparaci\u00f3n y un intento de persistir en entornos de alto valor.<\/p>\n “Tambi\u00e9n sugiere que a pesar de la cobertura global de esta operaci\u00f3n, no fue oportunista y que UNC4841 ten\u00eda una planificaci\u00f3n y financiaci\u00f3n adecuadas para anticipar y prepararse para contingencias que potencialmente podr\u00edan interrumpir su acceso a las redes objetivo”, explic\u00f3 la compa\u00f1\u00eda.<\/p>\n Se estima que aproximadamente el 2,64 por ciento del total de dispositivos comprometidos han sido infectados con DEPTHCHARGE. Esta victimolog\u00eda abarca entidades gubernamentales estadounidenses y extranjeras, as\u00ed como proveedores de alta tecnolog\u00eda y tecnolog\u00eda de la informaci\u00f3n.<\/p>\n La tercera cepa de malware, tambi\u00e9n entregada selectivamente a los objetivos, es FOXTROT, un implante C++ que se lanza utilizando un programa basado en C denominado FOXGLOVE. Al comunicarse a trav\u00e9s de TCP, viene con funciones para capturar pulsaciones de teclas, ejecutar comandos de shell, transferir archivos y configurar un shell inverso.<\/p>\n Es m\u00e1s, las acciones de FOXTROT se superponen con un rootkit de c\u00f3digo abierto llamado Reptile, que ha sido ampliamente utilizado por m\u00faltiples grupos de hackers chinos en los \u00faltimos meses. Esto tambi\u00e9n incluye UNC3886, un actor de amenazas vinculado a la explotaci\u00f3n de d\u00eda cero de una falla de seguridad de gravedad media ahora parcheada en el sistema operativo Fortinet FortiOS.<\/p>\n “FOXTROT y FOXGLOVE tambi\u00e9n son notables porque son las \u00fanicas familias de malware observadas utilizadas por UNC4841 que no fueron dise\u00f1adas espec\u00edficamente para Barracuda ESG”, se\u00f1al\u00f3 Mandiant. “Basado en la funcionalidad, FOXTROT probablemente tambi\u00e9n estaba destinado a ser implementado en otros dispositivos basados \u200b\u200ben Linux dentro de una red para permitir el movimiento lateral y el robo de credenciales”.<\/p>\n Otro aspecto que destaca a FOXGLOVE y FOXTROT es el hecho de que han sido los implementados de forma m\u00e1s selectiva entre todas las familias de malware utilizadas por UNC4841, utiliz\u00e1ndolo exclusivamente para atacar al gobierno o a organizaciones relacionadas con el gobierno.<\/p>\n Tambi\u00e9n se ha detectado al colectivo adversario realizando reconocimientos internos y posteriores acciones de movimiento lateral dentro de un n\u00famero limitado de entornos de v\u00edctimas. M\u00e1s de un caso implic\u00f3 el uso de Microsoft Outlook Web Access (OWA) para intentar iniciar sesi\u00f3n en los buzones de correo de los usuarios dentro de las organizaciones.<\/p>\n Como forma alternativa de acceso remoto, el actor de amenaza persistente avanzada (APT) cre\u00f3 cuentas que conten\u00edan cuatro caracteres generados aleatoriamente dentro del archivo etc\/passwd en aproximadamente el cinco por ciento de los dispositivos afectados anteriormente.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/Zoom-ZTP-amp-AudioCodes-Phones-Flaws-Uncovered-Exposing-Users-to.png\")
<\/a><\/center><\/section>\n![\"Barracuda](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/1693322391_697_Un-grupo-de-hackers-chino-explota-Barracuda-Zero-Day-para-atacar.jpg\" "\\"Barracuda")
<\/div>\n![\"Barracuda](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/1693322392_961_Un-grupo-de-hackers-chino-explota-Barracuda-Zero-Day-para-atacar.jpg\" "\\"Barracuda")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/China039s-APT31-Suspected-in-Attacks-on-Air-Gapped-Systems-in-Eastern.gif\")
<\/a><\/center><\/section>\n