- 9,478
- 18
- 8 Ноя 2022
Эксперты остались под впечатлением от богатого инструментария и быстрой адаптации киберпреступников.
Специалисты по кибербезопасности Mandiant Для просмотра ссылки Войдиили Зарегистрируйся , кто активно использовал уязвимость нулевого дня в Barracuda Email Security Gateway ( ESG ), о которой Для просмотра ссылки Войди или Зарегистрируйся в конце мая. По данным исследователей, за эксплуатацией уязвимости длиной в 7 месяцев стоит китайская хакерская группа UNC4841.
Уязвимость, которую использовала группировка, имеет идентификатор Для просмотра ссылки Войдиили Зарегистрируйся и критичность 9.8 из 10. Она связана с удалённым выполнением кода в версиях Barracuda ESG 5.1.3.001 — 9.2.0.006 и возникает из-за неполной проверки вложений во входящих электронных письмах.
Компания Barracuda устранила проблему вскоре после обнаружения, но призвала пострадавших клиентов Для просмотра ссылки Войдиили Зарегистрируйся «независимо от уровня версии патча».
По данным Mandiant, UNC4841 начала отправлять электронные письма с вредоносными вложениями в формате «.tar» организациям-жертвам ещё 10 октября 2022 года. Целью хакеров было запустить обратную оболочку на целевых устройствах ESG и доставить три разных вредоносных программ — SALTWATER, SEASIDE и SEASPY — чтобы обеспечить постоянство и выполнять произвольные команды, маскируя их под легитимные модули или службы Barracuda ESG.
Также противник использовал руткит ядра под названием SANDBAR, который настроен на скрытие процессов, начинающихся с определенного имени, а также две разные троянизированные версии действительных Lua-модулей от Barracuda.
Ещё одно хакерское ПО, SEASPRAY, производило сканирование входящих электронных писем с определённым именем файла и запускало внешнюю утилиту под названием WHIRLPOOL для активации обратного оболочки TLS SKIPJACK — пассивного имплантата, который сканирует входящие заголовки и темы электронных писем и выполняет содержимое, присутствующее в поле заголовка «Content-ID».
Исследователями также были обнаружены совпадения исходного кода между SEASPY и общедоступным бэкдором, называемым cd00r, а также между SANDBAR и руткитом с открытым исходным кодом, что свидетельствует о том, что актор адаптировал существующие инструменты для организации вторжений.
UNC4841 имеет все признаки настойчивого актора, учитывая способность хакеров быстро изменять свои вредоносные программы и использовать дополнительные механизмы закрепления в системах жертв после того, как Barracuda начала предпринимать меры по локализации угрозы.
Атаки UNC4841, по словам экспертов Mandiant, были нацелены на неопределенное количество частных и государственных организаций, расположенных как минимум в 16 странах, причем почти треть из них были государственными структурами. 55% пострадавших организаций находятся в Америке, 24% — в Европе, Ближнем Востоке и Африке, а ещё 22% — в Азиатско-Тихоокеанском регионе.
«Группировка UNC4841 показала себя быстро адаптирующейся к любым изменениям для поддержания статуса своих операций», — заявила Mandiant.
Специалисты по кибербезопасности Mandiant Для просмотра ссылки Войди
Уязвимость, которую использовала группировка, имеет идентификатор Для просмотра ссылки Войди
Компания Barracuda устранила проблему вскоре после обнаружения, но призвала пострадавших клиентов Для просмотра ссылки Войди
По данным Mandiant, UNC4841 начала отправлять электронные письма с вредоносными вложениями в формате «.tar» организациям-жертвам ещё 10 октября 2022 года. Целью хакеров было запустить обратную оболочку на целевых устройствах ESG и доставить три разных вредоносных программ — SALTWATER, SEASIDE и SEASPY — чтобы обеспечить постоянство и выполнять произвольные команды, маскируя их под легитимные модули или службы Barracuda ESG.
Также противник использовал руткит ядра под названием SANDBAR, который настроен на скрытие процессов, начинающихся с определенного имени, а также две разные троянизированные версии действительных Lua-модулей от Barracuda.
Ещё одно хакерское ПО, SEASPRAY, производило сканирование входящих электронных писем с определённым именем файла и запускало внешнюю утилиту под названием WHIRLPOOL для активации обратного оболочки TLS SKIPJACK — пассивного имплантата, который сканирует входящие заголовки и темы электронных писем и выполняет содержимое, присутствующее в поле заголовка «Content-ID».
Исследователями также были обнаружены совпадения исходного кода между SEASPY и общедоступным бэкдором, называемым cd00r, а также между SANDBAR и руткитом с открытым исходным кодом, что свидетельствует о том, что актор адаптировал существующие инструменты для организации вторжений.
UNC4841 имеет все признаки настойчивого актора, учитывая способность хакеров быстро изменять свои вредоносные программы и использовать дополнительные механизмы закрепления в системах жертв после того, как Barracuda начала предпринимать меры по локализации угрозы.
Атаки UNC4841, по словам экспертов Mandiant, были нацелены на неопределенное количество частных и государственных организаций, расположенных как минимум в 16 странах, причем почти треть из них были государственными структурами. 55% пострадавших организаций находятся в Америке, 24% — в Европе, Ближнем Востоке и Африке, а ещё 22% — в Азиатско-Тихоокеанском регионе.
«Группировка UNC4841 показала себя быстро адаптирующейся к любым изменениям для поддержания статуса своих операций», — заявила Mandiant.
- Источник новости
- www.securitylab.ru
