梭子鱼 ESG 攻击背后的中国民族国家演员

Montiant 将最新的漏洞归因于 Barracuda 电子邮件安全网关设备中的零日漏洞。

在周四的一篇博文中，Mandiant 提供了更多有关正在对上个月发布的 Barracuda ESG 设备中的零日漏洞利用进行调查的信息，该漏洞被跟踪为 CVE-2023-2868。 基于多个基础设施和恶意软件代码叠加，Montiant 非常有信心代号为“UNC4841”的中国民族国家行为者是所谓的网络间谍攻击的幕后黑手。

尽管 Mandiant 证实 CVE-2023-2868 的利用始于 10 月，但 UNC4841 威胁行为者在 5 月 22 日至 5 月 24 日期间最为活跃，目标是“位于至少 16 个不同国家/地区的多名受害者”。

“总的来说，Montiant 已经确定这场运动已经影响到世界各地的公共和私营部门的组织，其中大约三分之一是政府实体，”Montiant 写道。 博客.

Mandiant 的报告还阐明了为什么上个月发布的两个 Barracuda 补丁不够用，迫使供应商建议客户更换受损的 ESG 设备。 初始补丁于 5 月 20 日可用，随后于 5 月 21 日进行了额外修复，但威胁参与者迅速做出响应，对其自定义恶意软件进行了更改。

5 月 21 日至 23 日期间，“UNC4841 迅速引起 CSF 和盐水相关成分的变化，有效地防止粘连，”Montiant 说。 在 Montiant 攻击期间观察到的三个恶意软件代码家族中有两个是 Seaspy 和 Saltwater，还有一个名为 Seaside 的家族。 威胁行为者使用这三者来“将自己伪装成合法的梭子鱼 ESG 模块或服务”。

谷歌云旗下 Montiant 的高级事件响应顾问奥斯汀·拉尔森 (Austin Larson) 在发给 TechTarget 社论的电子邮件中详细说明了补丁问题。 他说，UNC4841 能够在不考虑补丁和固件更新的情况下保持访问，因为它是一个更复杂、更具侵略性的威胁行为者。

“作为对 Barracuda 最初修复工作的回应，UNC4841 表现出兴趣并承诺继续访问一部分受损设备。由于 UNC4841 表现出的复杂性以及对所有受损设备缺乏完全可见性，Barracuda 被选中并更换。使用时要格外小心并且不要从恢复分区重新格式化设备，”Larson 说。

根据该博客，威胁行为者通过将 update_version 命令插入到设备执行的 Perl 脚本中以保持持久性。 Larson 将 UNC4841 替换脚本的能力归因于通过成功利用 CVE-2023-2868 获得的访问权限。 他补充说，自 5 月 20 日补丁发布以来，Montiant 和 Barracuda 尚未发现对 CVE-2023-2868 的成功利用。

威胁行为者保持持久性并避免使用他们安装的反向 shell 发起的嫁接尝试的另一种方法是使用域而不是 IP 地址。 然后，他们在受感染的设备上使用反向 shell 进行每小时和每天的 cron 作业。 Montiant 还观察到 UNC4841 使用了一个名为“sandbar”的内核 rootkit，它在设备启动期间被激活。

TechTarget 社论联系了 Barracuda，以更深入地了解为什么补丁和固件更新无效。 卖方提供了一份与前一份类似的声明作为补充。

“梭子鱼正在与 Montiant 及其政府合作伙伴密切合作，调查该行为和恶意软件。在确定了一名疑似与中国有联系的演员（目前被追踪为 UNC4841）后，该团队非常有信心地评估其正在采取行动支持中华人民共和国，”声明中写道。