Quer apoiar meu projeto de divulgação de noticias? E ainda divulgar suas redes sociais
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/barracuda-esg-zero-day-attacks-linked-to-suspected-chinese-hackers/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #barracuda #esg #ataques #de #dia #zero #ligados #a #supostos #hackers #chineses
Um suposto grupo de hackers pró-China rastreado pela Mandiant como UNC4841 foi vinculado a ataques de roubo de dados em dispositivos Barracuda ESG (Email Security Gateway) usando uma vulnerabilidade de dia zero agora corrigida.
A partir de aproximadamente 10 de outubro de 2022, os agentes de ameaças começaram a explorar o CVE-2023-2868, uma vulnerabilidade de injeção de comando remoto de dia zero no módulo de verificação de anexos de e-mail do Barracuda.
O fornecedor descobriu a falha em 19 de maio e imediatamente divulgou que a vulnerabilidade estava sendo explorada, com a CISA publicando um alerta para que as agências federais dos EUA aplicassem as atualizações de segurança.
Pelo que foi divulgado, o CVE-2023-2868 foi explorado desde outubro de 2022 para lançar malware anteriormente desconhecido em dispositivos vulneráveis e roubar dados.
No inÃcio deste mês, a Barracuda tomou a decisão incomum de exigir que os clientes afetados substituÃssem seus dispositivos gratuitamente, em vez de refazer a imagem com um novo firmware.
Essa solicitação incomum levou muitos a acreditar que os agentes de ameaças comprometeram os dispositivos em um nÃvel baixo, tornando impossÃvel garantir que eles estivessem completamente limpos.
Mandiant disse ao BleepingComputer que isso foi recomendado por cautela, pois o Barracuda não poderia garantir a remoção completa do malware.
"Devido à sofisticação exibida pelo UNC4841 e à falta de visibilidade total de todos os dispositivos comprometidos, a Barracuda optou por substituir e não recriar a imagem do dispositivo da partição de recuperação com muita cautela", John Palmisano, gerente de resposta a incidentes da Mandiant - Google Cloud , disse BleepingComputer.
“Essa estratégia garante a integridade de todos os dispositivos em situações nas quais o Barracuda não consegue garantir que a partição de recuperação não foi comprometida pelo agente da ameaça”.
Ataques ligados a hackers pró-China
Hoje, a Mandiant revela que o agente da ameaça responsável por essa exploração é o UNC4841, um grupo de hackers conhecido por realizar ataques de espionagem cibernética em apoio à República Popular da China.
Os ataques começam com os agentes de ameaças enviando e-mails contendo anexos de arquivo '.tar' maliciosos (também arquivos TAR disfarçados de arquivos s'.jpg' ou '.dat') que exploram dispositivos ESG vulneráveis. Quando o Barracuda Email Security Gateway tenta escanear o arquivo, o anexo explora a falha CVE-2023-2868 para executar a execução remota de código no dispositivo.
E-mail malicioso enviado para appliances vulneráveis (Mandiant)
"Efetivamente equivale a uma entrada controlada pelo usuário não sanitizada e não filtrada por meio da variável $f sendo executada como um comando do sistema por meio da rotina qx{} do Perl. $f é uma variável controlada pelo usuário que conterá os nomes dos arquivos arquivados em um TAR ”, explica o relatório da Mandiant.
“Consequentemente, o UNC4841 foi capaz de formatar arquivos TAR de uma maneira especÃfica para acionar um ataque de injeção de comando que os permitiu executar remotamente comandos do sistema com os privilégios do produto Email Security Gateway”.
Vulnerável código BarracudaFonte: Mandiant
Depois que os invasores obtiveram acesso remoto ao dispositivo Barracuda ESG, eles o infectaram com famÃlias de malware conhecidas como 'Saltwater', 'Seaspy' e 'Seaside' para roubar dados de e-mail dos dispositivos.
O UNC4841 direcionou dados especÃficos para exfiltração e, ocasionalmente, aproveitou o acesso a um dispositivo ESG para navegar na rede da vÃtima ou enviar e-mail para outros dispositivos vÃtimas.
Quando o Barracuda descobriu a violação e lançou patches, o UNC4841 modificou seu malware e diversificou seus mecanismos de persistência para escapar das defesas baseadas em IoC.
Com o relógio correndo contra eles, os hackers lançaram uma série de ataques entre 22 e 24 de maio de 2023, visando dispositivos vulneráveis de agências governamentais e outras organizações importantes em pelo menos 16 paÃses.
Linha do tempo de exploração CVE-2023-2868 (Mandiant)
cadeia de ataque
Os anexos do arquivo TAR nos e-mails do invasor exploraram o CVE-2023-2868 para executar uma carga de shell reversa codificada em base64 em dispositivos ESG vulneráveis.
A carga útil cria uma nova sessão, um canal nomeado e um shell interativo, usando o OpenSSL para criar um cliente que se conecta a um endereço IP e porta especificados, com a saÃda padrão direcionada para o canal nomeado e qualquer saÃda de erro sendo descartada.
O shell reverso é adicionado em tarefas cron horárias ou diárias como um mecanismo de persistência.
Em seguida, os invasores utilizaram comandos wget para buscar mais cargas de seus servidores C2, principalmente 'Saltwater', 'Seaspy' e 'Seaside'.
O Saltwater é um módulo daemon Barracuda SMTP (bsmtpd) com backdoor que pode fazer upload ou download de arquivos, executar comandos arbitrários ou oferecer recursos de proxy aos atores da ameaça.
Seaside é um módulo bsmtpd baseado em Lua que monitora comandos SMTP HELO/EHLO quanto à presença de instruções codificadas enviadas do servidor C2 do invasor. Quando encontra algum, ele decodifica e os alimenta para "Whirlpool", uma ferramenta de shell reversa TLS baseada em C.
O terceiro backdoor é o Seaspy, uma ferramenta passiva que se estabelece como um filtro PCAP nas portas TCP/25 (SMTP) e TCP/587 e é ativado por um "pacote mágico".
Para persistência, o UNC4841 modifica o arquivo '/etc/init.d/rc' para configurar o Seaspy para ser executado após a reinicialização.
O diagrama de ataque Seaspy (Mandiant)
Finalmente, há o "Sandbar", que os agentes de ameaças usaram para ocultar os processos do servidor Linux cujo nome começa com "Bar", que oculta as atividades do Seaspy em particular, permitindo que ele opere sem ser detectado.
O Sandbar é adicionado ao diretório /lib/modules que hospeda os módulos do kernel do Linux; portanto, ele é executado na inicialização do sistema.
UNC4841 executou etapas rápidas de movimento lateral e foi observada a verificação de mensagens de e-mail especÃficas nos dispositivos comprometidos, usando termos de pesquisa relacionados a organizações, indivÃduos ou tópicos de alto interesse especÃficos.
Script para verificar palavras-chave especÃficas em e-mails armazenados no ESG (Mandiant)
"No conjunto de entidades selecionadas para exfiltração de dados focada, foram descobertos shell scripts que visavam domÃnios de e-mail e usuários do Ministério de Relações Exteriores da ASEAN (MFAs), bem como escritórios de comércio exterior e organizações de pesquisa acadêmica em Taiwan e Hong Kong", explicou Mandante.
Os analistas esperam que o UNC4841 continue tentando diversificar seus TTPs (táticas, técnicas e procedimentos) para evitar a detecção, portanto, recomenda-se alta vigilância.
A ação recomendada é substituir os appliances Barracuda ESG comprometidos, independentemente de seu nÃvel de patch, e realizar investigações completas na rede usando os indicadores de comprometimento publicados.
Postar um comentário