Maniant tarafından UNC4841 olarak izlenen şüpheli bir Çin yanlısı hacker grubu, şimdi daplanmış sıfır günlük güvenlik açığı kullanılarak Barracuda ESG (E-posta Güvenlik Ağ Geçidi) cihazlarına verilen veri hedefi saldırılarına bağlanmıştır.
Yaklaşık 10 Ekim 2022'den başlayarak, tehdit aktörleri Barracuda'nın e-posta ek tarama modülünde sıfır gün uzaktan komut enjeksiyon güvenlik açığı olan CVE-2023-2868'den yararlanmaya başladı.
Satıcı 19 Mayıs'ta kusuru keşfetti ve derhal güvenlik açığının kullanıldığını açıkladı ve CISA, ABD federal ajanslarının güvenlik güncellemelerini uygulaması için bir uyarı yayınladı.
O zaman bilinen şeyden, CVE-2023-2868, Ekim 2022'den bu yana daha önce bilinmeyen kötü amaçlı yazılımları savunmasız cihazlara bırakmak ve verileri çalmak için kullanıldı.
Bu ayın başlarında Barracuda, etkilenen müşterilerin cihazlarını yeni ürün yazılımı ile yeniden görüntülemek yerine ücretsiz olarak değiştirmelerini isteme alışılmadık bir karar verdi.
Bu olağandışı talep, birçok kişinin tehdit aktörlerinin cihazları düşük seviyede tehlikeye attığına inanmasına ve tamamen temiz olduklarından emin olmayı imkansız hale getirmesine neden oldu.
Mantiant, BleepingComputer'a bunun dikkatsizce önerildiğini söyledi, çünkü Barracuda kötü amaçlı yazılımların tamamen kaldırılmasını sağlayamadı.
John Palmisano - Google Cloud, "UNC4841 tarafından sergilenen sofistike ve tüm uzlaşılmış cihazlarda tam görünürlük eksikliği nedeniyle Barracuda, iyileşmeyi seçti ve kurtarma bölümünden aleti yeniden canlandırmayı seçti." , BleepingComputer'a söyledi.
Diyerek şöyle devam etti: "Bu strateji, Barracuda'nın kurtarma bölümünün tehdit oyuncusu tarafından tehlikeye atılmamasını sağlayamadığı durumlarda tüm cihazların bütünlüğünü sağlar."
Bugün Maniant, bu sömürüden sorumlu tehdit aktörünün, Çin Halk Cumhuriyeti'ni desteklemek için siber casusluk saldırıları yürüttüğü bilinen bir hack grubu olan UNC4841 olduğunu ortaya koyuyor.
Saldırılar, savunmasız ESG cihazlarından yararlanan kötü amaçlı '.tar' dosya ekleri (ayrıca '.jpg' veya '.dat' dosyaları gibi maskelenen katran dosyaları) içeren e -postalar gönderen tehdit aktörleriyle başlar. Barracuda E-posta Güvenlik Ağ Geçidi dosyayı taramaya çalıştığında, ek, cihazda uzaktan kod yürütme yapmak için CVE-2023-2868 Kusurundan yararlanır.
"Perl'nin QX {} rutini aracılığıyla bir sistem komutu olarak yürütülen $ F değişkeni aracılığıyla tasarlanmamış ve filtrelenmemiş kullanıcı kontrollü girişi etkili bir şekilde, $ F, arşivlenmiş dosyaların dosya adlarını bir katran içinde içerecek bir kullanıcı kontrollü değişkendir. , "diye açıklıyor Mantiant'ın raporu.
"Sonuç olarak, UNC4841, e -posta güvenlik ağ geçidi ürününün ayrıcalıklarıyla sistem komutlarını uzaktan yürütmelerini sağlayan bir komut enjeksiyon saldırısını tetiklemek için katran dosyalarını belirli bir şekilde biçimlendirebildi."
Tehdit aktörleri Barracuda ESG cihazına uzaktan erişim kazandıktan sonra, cihazlardan e -posta verilerini çalmak için 'tuzlu su', 'Seaspy' ve 'Seaside' olarak bilinen kötü amaçlı yazılım aileleriyle enfekte oldular.
UNC4841, kurbanın ağında gezinmek veya diğer kurban aletlerine posta göndermek için bir ESG cihazına erişim için belirli verileri hedefledi.
Barracuda ihlali keşfettiğinde ve yamaları serbest bıraktığında, UNC4841 kötü amaçlı yazılımını değiştirdi ve kalıcılık mekanizmalarını IOC tabanlı savunmalardan kaçınmak için çeşitlendirdi.
Saat onlara karşı geçerken, bilgisayar korsanları 22 Mayıs ve 24 Mayıs 2023 arasında bir saldırı çılgınlığı başlattı ve en az 16 ülkede devlet kurumlarının ve diğer önemli kuruluşların savunmasız cihazlarını hedef aldı.
Saldırganın e-postalarındaki katran dosyası ekleri, savunmasız ESG aletlerinde Base64 kodlu bir ters kabuk yükünü yürütmek için CVE-2023-2868'den yararlandı.
Yük, belirli bir IP adresine ve bağlantı noktasına bağlanan bir istemci oluşturmak için OpenSSL kullanan yeni bir oturum, adlandırılmış bir boru ve etkileşimli bir kabuk oluşturur, standart çıkış adı verilen boruya yönlendirilir ve herhangi bir hata çıkışı atılır.
Ters kabuk, bir kalıcılık mekanizması olarak saatlik veya günlük cron işlerine eklenir.
Daha sonra, saldırganlar C2 sunucularından, öncelikle 'tuzlu su', 'Seaspy' ve 'Seaside' olmak üzere daha fazla yük almak için WGET komutlarını kullandılar.
Tuzlu su, dosya yükleyebilen veya indirebilen, keyfi komutlar yürütebilen veya tehdit aktörlerine proxy özellikleri sunabilen geri yüklenen Barracuda SMTP Daemon (BSMTPD) modülüdür.
Seaside, saldırganın C2 sunucusundan gönderilen kodlanmış talimatların varlığı için SMTP HELO/EHLO komutlarını izleyen LUA tabanlı bir BSMTPD modülüdür. Herhangi bir bulduğunda, onları çözer ve C tabanlı bir TLS ters kabuk aracı olan "Whirlpool" için besler.
Üçüncü arka kapı, TCP/25 (SMTP) ve TCP/587 bağlantı noktalarında PCAP filtresi olarak kuran ve bir "Sihirli Paket" ile etkinleştirilen pasif bir araç olan Seaspy'dir.
Kalıcılık için UNC4841, '/etc/init.d/rc' dosyasını yeniden başlattıktan sonra yürütmeye ayarlamak için değiştirir.
Son olarak, tehdit aktörlerinin adı, özellikle Seaspy'nin faaliyetlerini gizleyen ve tespit edilmemiş çalışmasını sağlayan "çubuk" ile başlayan Linux sunucu süreçlerini gizlemek için kullandığı "Sandbar" var.
Sandbar, Linux çekirdek modüllerini barındıran /lib /modüller dizinine eklenir; Dolayısıyla, sistem başlangıçta yürütülür.
UNC4841 hızlı yanal hareket adımları gerçekleştirdi ve belirli kuruluşlar, bireyler veya yüksek faiz konuları ile ilgili arama terimleri kullanarak, tehlikeye atılan cihazlarda belirli e-posta mesajları için tarama gözlemlendi.
"Odaklanmış veri açığa çıkması için seçilen varlıklar setinde, ASEAN Dışişleri Bakanlığı'ndan (MFA'lardan (MFA'lar) hedeflenen e -posta alanlarını ve kullanıcılarının Tayvan ve Hong Kong'daki dış ticaret büroları ve akademik araştırma organizasyonları ortaya çıktı." Maniant.
Analistler UNC4841'in TTP'lerini (taktikler, teknikler ve prosedürler) saptamadan kaçınmaya çalışmasını bekliyor, bu nedenle yüksek uyanıklık öneriliyor.
Önerilen eylem, yama seviyelerinden bağımsız olarak uzlaşmış Barracuda ESG cihazlarının yerini almak ve yayınlanmış uzlaşma göstergelerini kullanarak ağda kapsamlı araştırmalar yapmaktır.
Çinli bilgisayar korsanları vmware esxi sıfır gününü arka kapı vms için kullandı
Çinli bilgisayar korsanları casusluk için yeni Linux kötü amaçlı yazılım varyantları kullanıyor
Çinli bilgisayar korsanları Linux kötü amaçlı yazılım iletişimi için DNS-HTTPS kullanıyor
Asylum Ambuscade hacker'ları siber suçları casuslukla karıştırın
Yeni Horabot kampanyası kurbanın Gmail'i devraldı, Outlook Hesapları
Kaynak: Bleeping Computer