Investigadores de ciberseguridad en Nube mandante de Google Enlace explota vulnerabilidad de día cero Se encuentra en un subconjunto limitado de Barracuda Email Security Gateway (ESG) a un actor de amenazas previamente no rastreado entre China y China, que ahora le ha asignado la designación UNC4841.
CVE-2023-2968 se reveló en mayo de 2023, pero probablemente se explotará a partir de octubre de 2022 en adelante. Es una vulnerabilidad de inyección de comando remoto que provoca la ejecución remota de código (RCE) con privilegios elevados, presente en un número limitado de dispositivos ESG con números de versión 5.1.3.001 a 9.2.0.006. Desde la detección, lamentablemente se supo que el parche de Barracuda no solucionó el problema por completo y, como resultado, se recomendó a los propietarios de los dispositivos afectados que obtengan un reemplazo.
Charles Carmackal, director de tecnología de Mandiant Consulting, Google Cloud, dijo que la represión china fue generalizada.
“Esta es la campaña de ciberespionaje más extensa que se sabe que ha llevado a cabo un actor de amenazas que amenaza a China desde la explotación masiva de Microsoft Exchange a principios de 2021”, dijo Carmakal.
“En el caso de Barracuda, el actor de amenazas violó el hardware de seguridad del correo electrónico de cientos de organizaciones. Para un subconjunto de las víctimas, robaron los correos electrónicos de empleados de alto perfil que se ocupan de asuntos de interés para el gobierno chino”. añadió.
Según el equipo de investigación de Mandiant, que incluye a Austin Larsen, John Palmisano, Matthew Butaczyk, John Wolfram, Nino Isakovich y Matthew McCoirt en esta publicación, UNC4841 es un actor patrocinado por el estado que trabaja en apoyo de los objetivos de inteligencia del gobierno chino.
Se descubrió que su infraestructura contenía muchos puntos de superposición con los atribuidos a otros actores de espionaje chinos; el equipo sospecha que esto indica que Beijing está adoptando un enfoque corporativo en su adquisición de TI.
La focalización de datos de interés para la infiltración se observó “agresivamente” en organismos del sector público y privado en 16 países, con casi un tercio de las víctimas identificadas por Mandiant como agencias gubernamentales. En particular, UNC4841 parece ser de interés para los ministerios de asuntos exteriores, las oficinas de comercio exterior y las organizaciones de investigación académica de Hong Kong y Taiwán miembros de la ASEAN.
Los correos electrónicos de phishing a los que solía acceder estaban vinculados a archivos adjuntos TAR especialmente diseñados, y los correos electrónicos en sí mismos generalmente tenían un asunto y un cuerpo de texto genéricos y, en algunos casos, valores de marcador de posición. Mandiant dijo que esto probablemente se hizo para que los correos electrónicos aparecieran como spam genérico en los sistemas de las víctimas y disuadir a los analistas de seguridad de investigarlos.
Durante la campaña de siete meses, UNC4841 utilizó tres familias de códigos, denominados Saltwater, Seaspy y Seaside, todos los cuales intentaron hasta cierto punto disfrazarse de módulos o servicios Barracuda ESG.
Esta tendencia continúa, dijo Mandiant, y desde la detección inicial de Barracuda, UNC4841 ha estado trabajando arduamente para modificar algunos de los componentes de salmuera y Seaspy para evitar parches efectivos. También introdujo un nuevo rootkit en la forma del módulo kernel del sistema de archivos de red del troyano para Linux, denominado Sandbar. También ha generado algunos Barracuda Lua legítimos que se rastrean como Seaspray y Skipjack.
“Se ha demostrado que UNC4841 responde muy bien a los esfuerzos de defensa y está ajustando activamente los TTP para mantener sus operaciones. Mandiant recomienda enfáticamente que los clientes afectados de Barracuda continúen buscando a este actor e investigando las redes afectadas”.
“Esperamos que UNC4841 continúe cambiando sus TTP y modificando su conjunto de herramientas, especialmente a medida que los defensores de la red continúan tomando medidas contra este adversario y su actividad está más expuesta por la comunidad de seguridad de la información.
Agregaron: “Mandiant elogia a Barracuda por sus acciones decisivas, transparencia e intercambio de información luego del exploit CVE-2023-2868 por parte de UNC4841. La respuesta a la explotación de esta vulnerabilidad por parte de UNC4841 y la investigación posterior requirieron la colaboración entre Mandiant, Barracuda y múltiples socios gubernamentales y de inteligencia”.
“Mandiant fue posible gracias a la experiencia de los ingenieros de Barracuda, quienes brindaron un conocimiento invaluable específico del producto, así como datos de telemetría de toda la flota de dispositivos ESG. Los datos proporcionados por Barracuda permitieron a Mandiant comprender la escala completa, investigar exhaustivamente y monitorear actividad del atacante”.
Un portavoz de Barracuda dijo: “A partir del 8 de junio de 2023, aproximadamente el 5% de los ESG activos en todo el mundo no mostraron evidencia de indicaciones conocidas de compromiso debido a la vulnerabilidad. Aunque se implementaron parches adicionales basados en IOC conocidos, lo que seguimos viendo evidencia de actividad de malware en curso en un subconjunto de dispositivos comprometidos, por lo que nos gustaría que los clientes reemplacen cualquier dispositivo comprometido con un nuevo dispositivo no afectado.
“Hemos notificado a los clientes afectados sobre este incidente. Si un dispositivo ESG muestra una notificación en la interfaz de usuario, entonces el dispositivo ESG tiene indicaciones de compromiso. Si no se muestra ninguna notificación, no tenemos motivos para creer que el dispositivo se ha visto comprometido. en este momento Nuevamente, solo un subconjunto de máquinas ESG se vio afectado por este incidente.
“La guía de Barracuda sigue siendo consistente para los clientes. Por precaución y para promover nuestra estrategia de contención, recomendamos que los clientes afectados reemplacen sus dispositivos vulnerables.
Si el cliente recibe una notificación de interfaz de usuario o es contactado por un representante de soporte técnico de Barracuda, el cliente debe comunicarse [email protected] Para reemplazar el dispositivo ESG. “Barracuda está ofreciendo el producto de reemplazo a los clientes afectados sin costo alguno”, dijeron.
“Barracuda se ha comprometido y continúa trabajando en estrecha colaboración con Mandiant, los principales expertos en seguridad cibernética del mundo, en esta investigación en curso”.
In conclusion, this film has captivated audiences with its mesmerizing storytelling, compelling performances, and stunning visuals. It has transported us to worlds both familiar and unknown, evoking a range of emotions that have left a lasting impact. The director’s artistic vision and the collaborative efforts of the cast and crew have brought this story to life in a truly extraordinary way. From the gripping plot twists to the heartfelt moments of connection, this film has reminded us of the power of cinema to inspire, entertain, and provoke thought.
Whether you’re a fan of the genre or simply a lover of great storytelling , this film is not to be missed. It’s a testament to the magic of filmmaking and serves as a reminder of the profound impact that movies can have on our lives. So grab your popcorn, sit back, and immerse yourself in this cinematic masterpiece.
