Уязвимость нулевого дня Barracuda ESG эксплуатировали китайские хакеры UNC4841

Специалисты по кибербезопасности Mandiant обнаружили , кто активно использовал уязвимость нулевого дня в Barracuda Email Security Gateway (ESG), о которой стало известно в конце мая. По данным исследователей, за эксплуатацией уязвимости длиной в 7 месяцев стоит китайская хакерская группа UNC4841.

Уязвимость, которую использовала группировка, имеет идентификатор CVE-2023-2868 и критичность 9.8 из 10. Она связана с удалённым выполнением кода в версиях Barracuda ESG 5.1.3.001 — 9.2.0.006 и возникает из-за неполной проверки вложений во входящих электронных письмах.

Компания Barracuda устранила проблему вскоре после обнаружения, но призвала пострадавших клиентов немедленно заменить устройства «независимо от уровня версии патча».

По данным Mandiant, UNC4841 начала отправлять электронные письма с вредоносными вложениями в формате «.tar» организациям-жертвам ещё 10 октября 2022 года. Целью хакеров было запустить обратную оболочку на целевых устройствах ESG и доставить три разных вредоносных программ — SALTWATER, SEASIDE и SEASPY — чтобы обеспечить постоянство и выполнять произвольные команды, маскируя их под легитимные модули или службы Barracuda ESG.

Также злоумышленники использовали руткит ядра под названием SANDBAR, который настроен на скрытие процессов, начинающихся с определенного имени, а также две разные троянизированные версии действительных Lua-модулей от Barracuda.

Ещё одно хакерское ПО, SEASPRAY, производило сканирование входящих электронных писем с определённым именем файла и запускало внешнюю утилиту под названием WHIRLPOOL для активации обратного оболочки TLS SKIPJACK — пассивного имплантата, который сканирует входящие заголовки и темы электронных писем и выполняет содержимое, присутствующее в поле заголовка «Content-ID».

Исследователями также были обнаружены совпадения исходного кода между SEASPY и общедоступным бэкдором, называемым cd00r, а также между SANDBAR и руткитом с открытым исходным кодом, что свидетельствует о том, что актор адаптировал существующие инструменты для организации вторжений.

UNC4841 имеет все признаки настойчивого вредоносного актора, учитывая способность хакеров быстро изменять свои методы и тактики, используя дополнительные механизмы закрепления в системах жертв после того, как Barracuda начала предпринимать меры по локализации угрозы.

Атаки UNC4841, по словам экспертов Mandiant, были нацелены на неопределенное количество частных и государственных организаций, расположенных как минимум в 16 странах, причем почти треть из них были государственными структурами. 55% пострадавших организаций находятся в Америке, 24% — в Европе, Ближнем Востоке и Африке, а ещё 22% — в Азиатско-Тихоокеанском регионе.

«Группировка UNC4841 показала себя быстро адаптирующейся к любым изменениям для поддержания статуса своих операций», — заявила Mandiant.