Descargitas

来自中国的最新突发新闻。

梭子鱼 ESG 攻击背后的中国民族国家演员

梭子鱼 ESG 攻击背后的中国民族国家演员

Montiant 将最新的漏洞归因于 Barracuda 电子邮件安全网关设备中的零日漏洞。

在周四的一篇博文中,Mandiant 提供了更多有关正在对上个月发布的 Barracuda ESG 设备中的零日漏洞利用进行调查的信息,该漏洞被跟踪为 CVE-2023-2868。 基于多个基础设施和恶意软件代码叠加,Montiant 非常有信心代号为“UNC4841”的中国民族国家行为者是所谓的网络间谍攻击的幕后黑手。

尽管 Mandiant 证实 CVE-2023-2868 的利用始于 10 月,但 UNC4841 威胁行为者在 5 月 22 日至 5 月 24 日期间最为活跃,目标是“位于至少 16 个不同国家/地区的多名受害者”。

“总的来说,Montiant 已经确定这场运动已经影响到世界各地的公共和私营部门的组织,其中大约三分之一是政府实体,”Montiant 写道。 博客.

Mandiant 的报告还阐明了为什么上个月发布的两个 Barracuda 补丁不够用,迫使供应商建议客户更换受损的 ESG 设备。 初始补丁于 5 月 20 日可用,随后于 5 月 21 日进行了额外修复,但威胁参与者迅速做出响应,对其自定义恶意软件进行了更改。

5 月 21 日至 23 日期间,“UNC4841 迅速引起 CSF 和盐水相关成分的变化,有效地防止粘连,”Montiant 说。 在 Montiant 攻击期间观察到的三个恶意软件代码家族中有两个是 Seaspy 和 Saltwater,还有一个名为 Seaside 的家族。 威胁行为者使用这三者来“将自己伪装成合法的梭子鱼 ESG 模块或服务”。

谷歌云旗下 Montiant 的高级事件响应顾问奥斯汀·拉尔森 (Austin Larson) 在发给 TechTarget 社论的电子邮件中详细说明了补丁问题。 他说,UNC4841 能够在不考虑补丁和固件更新的情况下保持访问,因为它是一个更复杂、更具侵略性的威胁行为者。

“作为对 Barracuda 最初修复工作的回应,UNC4841 表现出兴趣并承诺继续访问一部分受损设备。由于 UNC4841 表现出的复杂性以及对所有受损设备缺乏完全可见性,Barracuda 被选中并更换。使用时要格外小心并且不要从恢复分区重新格式化设备,”Larson 说。

根据该博客,威胁行为者通过将 update_version 命令插入到设备执行的 Perl 脚本中以保持持久性。 Larson 将 UNC4841 替换脚本的能力归因于通过成功利用 CVE-2023-2868 获得的访问权限。 他补充说,自 5 月 20 日补丁发布以来,Montiant 和 Barracuda 尚未发现对 CVE-2023-2868 的成功利用。

威胁行为者保持持久性并避免使用他们安装的反向 shell 发起的嫁接尝试的另一种方法是使用域而不是 IP 地址。 然后,他们在受感染的设备上使用反向 shell 进行每小时和每天的 cron 作业。 Montiant 还观察到 UNC4841 使用了一个名为“sandbar”的内核 rootkit,它在设备启动期间被激活。

TechTarget 社论联系了 Barracuda,以更深入地了解为什么补丁和固件更新无效。 卖方提供了一份与前一份类似的声明作为补充。

“梭子鱼正在与 Montiant 及其政府合作伙伴密切合作,调查该行为和恶意软件。在确定了一名疑似与中国有联系的演员(目前被追踪为 UNC4841)后,该团队非常有信心地评估其正在采取行动支持中华人民共和国,”声明中写道。

Mandiant 提供了针对梭子鱼电子邮件安全网关设备的零日漏洞攻击时间表。
Mandiant 分享了其正在进行的针对梭子鱼电子邮件安全网关设备的零日攻击调查的最新进展,这些设备现已与中国的网络间谍活动相关联。

攻击持续 6 个月

Montiant Barracuda 提供了 ESG 攻击的详细时间表,表明 UNC4841 于 10 月 10 日针对受影响的系统发起了网络钓鱼活动。 这些电子邮件有明显的垃圾邮件迹象,例如使用糟糕的语法,这是安全警报中强调的一个危险信号。 培训计划。 然而,Montiant 认为这种策略是故意的。

“Montiant 估计 UNC4841 可能使消息的正文和内容看起来像是普通垃圾邮件,以避免被垃圾邮件过滤器标记或阻止安全研究人员进行全面调查。Montiant 观察到高级团队使用这种策略利用零日漏洞过去,”博客文章中写道。

根据 Mandiant 的时间线,第一次成功的电子邮件泄露尝试发生在 12 月 10 日,但距离 Barracuda 为人所知还有几个月的时间。

在最初的妥协之后,Montiant 和 Barracuda 注意到了两个重要因素。 首先,威胁行为者主动瞄准感兴趣的数据进行渗漏。 其次,他们使用额外的工具来保持稳定性,例如带有后门的恶意软件 Seaspy、Seaside 和 Saltwater。

UNC4841 在系统内进行横向移动的第一个迹象是在 5 月 16 日,也就是梭子鱼首次在 ESG 设备上检测到恶意活动的两天后。 远程代码注入漏洞在 5 月 19 日被分配了一个 CVE ID,并于次日应用了补丁。 Barracuda 于 5 月 21 日发布了一个额外的修复脚本,但威胁参与者在同一天调整了其策略、技术和程序以响应修复。

在 5 月 24 日进行初步磋商后,梭子鱼于 5 月 31 日针对受影响的 ESG 设备发布了额外指南。

Barracuda 于 6 月 6 日更新了公告,发布了一项听起来更加紧迫的行动公告。 “无论补丁版本级别如何,都应立即更换受损的 ESG 设备,”更新说。 Barracuda 后来向 TechTarget Editorial 发表声明称,该供应商将“免费为受影响的客户提供更换产品”。

据 Barracuda 称,截至 6 月 10 日,全球只有 5% 的活跃 ESG 设备受到影响,尽管零日漏洞在可用补丁发布前几个月就被发现和利用了。

Montiant 称赞梭子鱼对当前形势的反应。 与 Barracuda 一样,Mandiant 敦促用户更换所有受损设备。 此外,Mandiant 的博客文章建议所有受影响的组织寻找供应商提供的妥协指标、审查电子邮件日志并撤销受害者凭证。

Arielle Waldman 是驻波士顿的一名报道企业安全新闻的记者。