Un acteur présumé de la menace liée à la Chine surnommé UNC4841 a été lié à l’exploitation d’une faille zero-day récemment corrigée dans les appliances Barracuda Email Security Gateway (ESG) depuis octobre 2022.
« UNC4841 est un acteur d’espionnage derrière cette campagne de grande envergure en faveur de la République populaire de Chine », a déclaré Mandiant, propriété de Google. a dit dans un nouveau rapport publié aujourd’hui, décrivant le groupe comme « agressif et qualifié ».
Le défaut en question est CVE-2023-2868 (score CVSS : 9,8), qui concerne une injection de code à distance affectant les versions 5.1.3.001 à 9.2.0.006 qui survient à la suite d’une validation incomplète des pièces jointes contenues dans les e-mails entrants.
Barracuda a résolu le problème les 20 et 21 mai 2023, mais la société a depuis exhorté les clients concernés à remplacer immédiatement les appareils « quel que soit le niveau de version du correctif ».
Désormais, selon la société de réponse aux incidents et de renseignement sur les menaces, qui a été désignée pour enquêter sur le piratage, UNC4841 aurait envoyé des e-mails aux organisations victimes contenant des pièces jointes de fichiers TAR malveillants conçus pour exploiter le bogue dès le 10 octobre 2022.
Ces e-mails contenaient des leurres génériques avec une mauvaise grammaire et, dans certains cas, des valeurs d’espace réservé, une tactique délibérément choisie pour déguiser les communications en spam.
L’objectif, a-t-il noté, était d’exécuter une charge utile de shell inversé sur les appareils ESG ciblés et de fournir trois souches de logiciels malveillants différentes – SALTWATER, SEASIDE et SEASPY – afin d’établir la persistance et d’exécuter des commandes arbitraires, tout en les faisant passer pour des modules Barracuda ESG légitimes. ou services.
L’adversaire a également déployé un rootkit de noyau nommé SANDBAR qui est configuré pour dissimuler les processus qui commencent par un nom spécifié ainsi que les versions trojanisées de deux modules Barracuda Lua valides différents –
- ASPIRANCE MARINE – Un lanceur pour filtrer les pièces jointes entrantes avec un nom de fichier particulier et exécute un utilitaire externe basé sur C appelé WHIRLPOOL pour créer un shell inversé TLS
- BONITE – Un implant passif qui écoute les en-têtes et les sujets des e-mails entrants et exécute le contenu présent dans le champ d’en-tête « Content-ID »
Des chevauchements de code source ont été identifiés entre SEASPY et une porte dérobée accessible au public appelée cd00r et aussi entre SANDBAR et un rootkit open sourcesuggérant que l’acteur a réutilisé des outils existants pour orchestrer les intrusions.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
UNC4841 a toutes les caractéristiques d’un acteur persistant, étant donné sa capacité à modifier rapidement son logiciel malveillant et à utiliser des mécanismes de persistance supplémentaires lorsque Barracuda a lancé des efforts de confinement après avoir découvert l’activité le 19 mai 2023.
Dans certains cas, l’auteur de la menace a été observé en train d’exploiter l’accès à une appliance ESG compromise pour effectuer un mouvement latéral dans le réseau victime ou pour envoyer du courrier à d’autres appliances victimes. L’exfiltration de données impliquait la capture de données liées aux e-mails dans un sous-ensemble de cas.
Les attaques à haute fréquence, a déclaré Mandiant, visaient un nombre indéterminé d’organisations des secteurs privé et public situées dans au moins 16 pays, dont près d’un tiers étaient des entités gouvernementales. 55 % des organisations concernées sont situées dans les Amériques, suivies de 24 % dans la région EMEA et de 22 % dans la région Asie-Pacifique.
« L’UNC4841 s’est montré très réactif aux efforts défensifs et modifie activement les TTP pour maintenir leurs opérations », a déclaré Mandiant, ajoutant qu’il s’attend à ce que les acteurs « modifient leurs TTP et modifient leur boîte à outils ».