Chińska grupa hakerska wykorzystuje Barracuda Zero-Day do atakowania rządów, wojska i telekomunikacji

Podejrzana grupa hakerska działająca na chińskich sieciach komórkowych wykorzystała niedawno ujawnioną lukę dnia zerowego w urządzeniach Barracuda Networks Email Security Gateway (ESG) do włamywania się do sektorów rządowego, wojskowego, obronnego i lotniczego, przemysłu zaawansowanych technologii oraz telekomunikacji w ramach globalnej kampanii szpiegowskiej .

Mandiant, który śledzi tę aktywność pod nazwą UNC4841, opisał ugrupowanie zagrażające jako „bardzo szybko reagujące na wysiłki obronne” i zdolne do aktywnego modyfikowania swojego sposobu działania, aby utrzymać stały dostęp do celów.

„UNC4841 wdrożył nowe, nowatorskie złośliwe oprogramowanie zaprojektowane w celu utrzymywania obecności w niewielkim podzbiorze celów o wysokim priorytecie, które naruszył przed wypuszczeniem łatki lub wkrótce po wskazówkach firmy Barracuda dotyczących zaradzania” – stwierdziła należąca do Google firma zajmująca się analizą zagrożeń w nowym raporcie technicznym opublikowany dzisiaj. Prawie jedna trzecia zidentyfikowanych organizacji, których dotyczy problem, to agencje rządowe. Co ciekawe, wydaje się, że niektóre z najwcześniejszych kompromisów miały miejsce na niewielkiej liczbie urządzeń geolokalizowanych w Chinach kontynentalnych.

Ataki polegają na wykorzystaniu luki CVE-2023-2868 do wdrażania szkodliwego oprogramowania i prowadzenia działań poeksploatacyjnych. W wybranych przypadkach włamania doprowadziły do ​​wdrożenia dodatkowego złośliwego oprogramowania, takiego jak SUBMARINE (znanego również jako DEPTHCHARGE), aby zachować trwałość w odpowiedzi na próby zaradcze.

Dalsza analiza kampanii ujawniła „wyraźny spadek aktywności w okresie od około 20 stycznia do 22 stycznia 2023 r.”, zbiegający się z początkiem chińskiego Nowego Roku, po którym nastąpiły dwa wzrosty, jeden po publicznym powiadomieniu firmy Barracuda w dniu 23 maja 2023 r. , a drugi na początku czerwca 2023 r.

Mówi się, że w tym ostatnim przypadku atakujący „próbował utrzymać dostęp do zaatakowanych środowisk poprzez wdrożenie nowych rodzin szkodliwego oprogramowania SKIPJACK, DEPTHCHARGE i FOXTROT / FOXGLOVE”.

Chociaż SKIPJACK jest pasywnym implantem, który rejestruje słuchacza dla określonych nagłówków i tematów przychodzących wiadomości e-mail przed zdekodowaniem i uruchomieniem ich zawartości, DEPTHCHARGE jest wstępnie ładowany do demona Barracuda SMTP (BSMTP) przy użyciu zmiennej środowiskowej LD_PRELOAD i pobiera zaszyfrowane polecenia do wykonania.

Najwcześniejsze użycie DEPTHCHARGE datuje się na 30 maja 2023 roku, zaledwie kilka dni po publicznym ujawnieniu wady przez firmę Barracuda. Mandiant stwierdził, że zaobserwował szybkie wdrażanie szkodliwego oprogramowania w podzbiorze celów, co wskazuje na wysoki poziom przygotowania i próbę przetrwania w środowiskach o dużej wartości.

„Sugeruje to również, że pomimo globalnego zasięgu tej operacji, nie była ona oportunistyczna oraz że UNC4841 dysponował odpowiednim planowaniem i środkami finansowymi, aby przewidywać i przygotowywać się na sytuacje awaryjne, które mogą potencjalnie zakłócić dostęp do docelowych sieci” – wyjaśniła firma.

Szacuje się, że około 2,64 procent wszystkich zainfekowanych urządzeń zostało zainfekowanych DEPTHCHARGE. Ta wiktymologia obejmuje podmioty rządowe w USA i za granicą, a także dostawców zaawansowanych technologii i technologii informatycznych.

Więcej od autora
1 z 175

Trzecią odmianą złośliwego oprogramowania, również selektywnie dostarczaną celom, jest FOXTROT, implant C++ uruchamiany przy użyciu programu opartego na języku C o nazwie FOXGLOVE. Komunikując się za pośrednictwem protokołu TCP, posiada funkcje umożliwiające przechwytywanie naciśnięć klawiszy, uruchamianie poleceń powłoki, przesyłanie plików i konfigurowanie powłoki odwrotnej.

Co więcej, FOXTROT pokrywa się z rootkitem typu open source o nazwie Reptile, który w ostatnich miesiącach był szeroko używany przez wiele chińskich ekip hakerskich. Obejmuje to również UNC3886, ugrupowanie zagrażające powiązane z wykorzystaniem od zera dnia zerowego do załatanej obecnie luki w zabezpieczeniach o średniej wadze w systemie operacyjnym Fortinet FortiOS.

„FOXTROT i FOXGLOVE wyróżniają się również tym, że są jedynymi zaobserwowanymi rodzinami szkodliwego oprogramowania wykorzystywanego przez UNC4841, które nie zostały zaprojektowane specjalnie dla Barracuda ESG” – zauważył Mandiant. „Ze względu na funkcjonalność FOXTROT miał prawdopodobnie zostać wdrożony również na innych urządzeniach opartych na systemie Linux w sieci, aby umożliwić ruch poprzeczny i kradzież danych uwierzytelniających”.

Innym aspektem wyróżniającym FOXGLOVE i FOXTROT jest fakt, że zostały one wdrożone w najbardziej selektywny sposób spośród wszystkich rodzin szkodliwego oprogramowania wykorzystywanego przez UNC4841, wykorzystując je wyłącznie do atakowania rządu lub organizacji z nim powiązanych.

Wykryto także, że wrogi kolektyw przeprowadzał rozpoznanie wewnętrzne, a następnie przeprowadzał ruchy boczne w ograniczonej liczbie środowisk ofiar. Więcej niż jeden przypadek dotyczył wykorzystania programu Microsoft Outlook Web Access (OWA) do próby zalogowania się do skrzynek pocztowych użytkowników w organizacjach.

Jako alternatywną formę zdalnego dostępu ugrupowanie zaawansowanego trwałego zagrożenia (APT) utworzyło konta zawierające cztery losowo wygenerowane znaki w pliku etc/passwd na około pięciu procentach urządzeń, których wcześniej dotyczyło to zagrożenie.

Chińskie powiązania UNC4841 są dodatkowo wzmocnione przez podobieństwa infrastrukturalne między grupą a innym niesklasyfikowanym klastrem o kryptonimie UNC2286, który z kolei pokrywa się z innymi chińskimi kampaniami szpiegowskimi, śledzonymi jako FamousSparrow i GhostEmperor.

Najnowsze ujawnienie pojawia się w kontekście Federalnego Biura Śledczego Stanów Zjednoczonych (FBI), które wzywa dotkniętych klientów do natychmiastowej wymiany urządzeń ESG, powołując się na utrzymujące się ryzyko.

„UNC4841 to podmiot dysponujący dużymi zasobami, który wykorzystał szeroką gamę złośliwego oprogramowania i specjalnie zaprojektowane narzędzia, aby umożliwić prowadzenie globalnych operacji szpiegowskich” – stwierdziła firma, podkreślając zdolność ugrupowania zagrażającego do selektywnego wdrażania większej liczby ładunków w określonych środowiskach ofiar.

„Wspólna infrastruktura i techniki anonimizacji są powszechne wśród chińskich podmiotów zajmujących się cyberszpiegiem, podobnie jak wspólne narzędzia i prawdopodobne zasoby do tworzenia złośliwego oprogramowania. Jest prawdopodobne, że w dalszym ciągu będziemy obserwować chińskie operacje cyberszpiegowskie wymierzone w infrastrukturę brzegową zawierającą luki dnia zerowego i wdrażanie złośliwe oprogramowanie dostosowane do konkretnych ekosystemów urządzeń.”

Źródło: thehackernews
Komentarz