{"id":785204,"date":"2023-06-15T15:26:43","date_gmt":"2023-06-15T17:26:43","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-groupe-chinois-unc4841-exploite-une-faille-zero-day-dans-barracuda-email-security-gateway\/"},"modified":"2023-06-15T15:26:46","modified_gmt":"2023-06-15T17:26:46","slug":"le-groupe-chinois-unc4841-exploite-une-faille-zero-day-dans-barracuda-email-security-gateway","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-groupe-chinois-unc4841-exploite-une-faille-zero-day-dans-barracuda-email-security-gateway\/","title":{"rendered":"Le groupe chinois UNC4841 exploite une faille zero-day dans Barracuda Email Security Gateway"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">15 juin 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un acteur pr\u00e9sum\u00e9 de la menace li\u00e9e \u00e0 la Chine surnomm\u00e9 <strong>UNC4841<\/strong> a \u00e9t\u00e9 li\u00e9 \u00e0 l&#8217;exploitation d&#8217;une faille zero-day r\u00e9cemment corrig\u00e9e dans les appliances Barracuda Email Security Gateway (ESG) depuis octobre 2022.<\/p>\n<p>&#8220;UNC4841 est un acteur d&#8217;espionnage derri\u00e8re cette campagne de grande envergure en faveur de la R\u00e9publique populaire de Chine&#8221;, a d\u00e9clar\u00e9 Mandiant, propri\u00e9t\u00e9 de Google. <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/barracuda-esg-exploited-globally\" target=\"_blank\">a dit<\/a> dans un nouveau rapport publi\u00e9 aujourd&#8217;hui, d\u00e9crivant le groupe comme &#8220;agressif et qualifi\u00e9&#8221;.<\/p>\n<p>Le d\u00e9faut en question est <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-2868\" target=\"_blank\">CVE-2023-2868<\/a> (score CVSS : 9,8), qui concerne une injection de code \u00e0 distance affectant les versions 5.1.3.001 \u00e0 9.2.0.006 qui survient \u00e0 la suite d&#8217;une validation incompl\u00e8te des pi\u00e8ces jointes contenues dans les e-mails entrants.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/Les-cybercriminels-bresiliens-utilisent-les-scripts-LOLBaS-et-CMD-pour.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Barracuda a r\u00e9solu le probl\u00e8me les 20 et 21 mai 2023, mais la soci\u00e9t\u00e9 a depuis exhort\u00e9 les clients concern\u00e9s \u00e0 remplacer imm\u00e9diatement les appareils &#8220;quel que soit le niveau de version du correctif&#8221;.<\/p>\n<p>D\u00e9sormais, selon la soci\u00e9t\u00e9 de r\u00e9ponse aux incidents et de renseignement sur les menaces, qui a \u00e9t\u00e9 d\u00e9sign\u00e9e pour enqu\u00eater sur le piratage, UNC4841 aurait envoy\u00e9 des e-mails aux organisations victimes contenant des pi\u00e8ces jointes de fichiers TAR malveillants con\u00e7us pour exploiter le bogue d\u00e8s le 10 octobre 2022.<\/p>\n<p>Ces e-mails contenaient des leurres g\u00e9n\u00e9riques avec une mauvaise grammaire et, dans certains cas, des valeurs d&#8217;espace r\u00e9serv\u00e9, une tactique d\u00e9lib\u00e9r\u00e9ment choisie pour d\u00e9guiser les communications en spam.<\/p>\n<p>L&#8217;objectif, a-t-il not\u00e9, \u00e9tait d&#8217;ex\u00e9cuter une charge utile de shell invers\u00e9 sur les appareils ESG cibl\u00e9s et de fournir trois souches de logiciels malveillants diff\u00e9rentes &#8211; SALTWATER, SEASIDE et SEASPY &#8211; afin d&#8217;\u00e9tablir la persistance et d&#8217;ex\u00e9cuter des commandes arbitraires, tout en les faisant passer pour des modules Barracuda ESG l\u00e9gitimes. ou services.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/Le-groupe-chinois-UNC4841-exploite-une-faille-zero-day-dans-Barracuda.png\" alt=\"\" border=\"0\" data-original-height=\"1210\" data-original-width=\"3917\"\/><\/div>\n<p>L&#8217;adversaire a \u00e9galement d\u00e9ploy\u00e9 un rootkit de noyau nomm\u00e9 SANDBAR qui est configur\u00e9 pour dissimuler les processus qui commencent par un nom sp\u00e9cifi\u00e9 ainsi que les versions trojanis\u00e9es de deux modules Barracuda Lua valides diff\u00e9rents &#8211;<\/p>\n<ul>\n<li aria-level=\"1\"><strong>ASPIRANCE MARINE<\/strong> &#8211; Un lanceur pour filtrer les pi\u00e8ces jointes entrantes avec un nom de fichier particulier et ex\u00e9cute un utilitaire externe bas\u00e9 sur C appel\u00e9 WHIRLPOOL pour cr\u00e9er un shell invers\u00e9 TLS<\/li>\n<li aria-level=\"1\"><strong>BONITE<\/strong> &#8211; Un implant passif qui \u00e9coute les en-t\u00eates et les sujets des e-mails entrants et ex\u00e9cute le contenu pr\u00e9sent dans le champ d&#8217;en-t\u00eate &#8220;Content-ID&#8221;<\/li>\n<\/ul>\n<p>Des chevauchements de code source ont \u00e9t\u00e9 identifi\u00e9s entre SEASPY et une porte d\u00e9rob\u00e9e accessible au public appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/packetstormsecurity.com\/files\/22121\/cd00r.c.html\" target=\"_blank\">cd00r<\/a> et aussi entre SANDBAR et un <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/Mote-Z\/rootkit\" target=\"_blank\">rootkit open source<\/a>sugg\u00e9rant que l&#8217;acteur a r\u00e9utilis\u00e9 des outils existants pour orchestrer les intrusions.<\/p>\n<div class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>\ud83d\udd10 Ma\u00eetriser la s\u00e9curit\u00e9 des API\u00a0: Comprendre votre v\u00e9ritable surface d&#8217;attaque<\/p>\n<p class=\"wn-description\">D\u00e9couvrez les vuln\u00e9rabilit\u00e9s inexploit\u00e9es de votre \u00e9cosyst\u00e8me d&#8217;API et prenez des mesures proactives pour une s\u00e9curit\u00e9 \u00e0 toute \u00e9preuve.  Rejoignez notre webinaire perspicace !<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" class=\"wn-button\">Rejoindre la s\u00e9ance<\/a><\/div>\n<p>UNC4841 a toutes les caract\u00e9ristiques d&#8217;un acteur persistant, \u00e9tant donn\u00e9 sa capacit\u00e9 \u00e0 modifier rapidement son logiciel malveillant et \u00e0 utiliser des m\u00e9canismes de persistance suppl\u00e9mentaires lorsque Barracuda a lanc\u00e9 des efforts de confinement apr\u00e8s avoir d\u00e9couvert l&#8217;activit\u00e9 le 19 mai 2023.<\/p>\n<p>Dans certains cas, l&#8217;auteur de la menace a \u00e9t\u00e9 observ\u00e9 en train d&#8217;exploiter l&#8217;acc\u00e8s \u00e0 une appliance ESG compromise pour effectuer un mouvement lat\u00e9ral dans le r\u00e9seau victime ou pour envoyer du courrier \u00e0 d&#8217;autres appliances victimes.  L&#8217;exfiltration de donn\u00e9es impliquait la capture de donn\u00e9es li\u00e9es aux e-mails dans un sous-ensemble de cas.<\/p>\n<p>Les attaques \u00e0 haute fr\u00e9quence, a d\u00e9clar\u00e9 Mandiant, visaient un nombre ind\u00e9termin\u00e9 d&#8217;organisations des secteurs priv\u00e9 et public situ\u00e9es dans au moins 16 pays, dont pr\u00e8s d&#8217;un tiers \u00e9taient des entit\u00e9s gouvernementales.  55\u00a0% des organisations concern\u00e9es sont situ\u00e9es dans les Am\u00e9riques, suivies de 24\u00a0% dans la r\u00e9gion EMEA et de 22\u00a0% dans la r\u00e9gion Asie-Pacifique.<\/p>\n<p>&#8220;L&#8217;UNC4841 s&#8217;est montr\u00e9 tr\u00e8s r\u00e9actif aux efforts d\u00e9fensifs et modifie activement les TTP pour maintenir leurs op\u00e9rations&#8221;, a d\u00e9clar\u00e9 Mandiant, ajoutant qu&#8217;il s&#8217;attend \u00e0 ce que les acteurs &#8220;modifient leurs TTP et modifient leur bo\u00eete \u00e0 outils&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/chinese-unc4841-group-exploits-zero-day.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80215 juin 2023\ue804Ravie Lakshmanan Un acteur pr\u00e9sum\u00e9 de la menace li\u00e9e \u00e0 la Chine surnomm\u00e9 UNC4841 a \u00e9t\u00e9 li\u00e9 \u00e0 l&#8217;exploitation d&#8217;une faille zero-day r\u00e9cemment corrig\u00e9e dans les appliances Barracuda Email Security Gateway (ESG) depuis octobre 2022. &#8220;UNC4841 est un acteur d&#8217;espionnage derri\u00e8re cette campagne de grande envergure en faveur de la R\u00e9publique populaire de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":785205,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[164637,5663,4168,4158,4165,4161,429,38079,7727,9048,72147,681,4157,4159,4171,4170,4167,4160,4163,4162,4172,4169,18347,168567,196,4166,4164,35759],"class_list":["post-785204","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-barracuda","tag-chinois","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-email","tag-exploite","tag-faille","tag-gateway","tag-groupe","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-security","tag-unc4841","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-zeroday"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/785204","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=785204"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/785204\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/785205"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=785204"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=785204"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=785204"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}