Un presunto grupo de hackers del nexo chino aprovechó una falla de día cero recientemente revelada en los dispositivos Email Security Gateway (ESG) de Barracuda Networks para violar los sectores gubernamental, militar, de defensa y aeroespacial, industria de alta tecnología y telecomunicaciones como parte de una campaña de espionaje global. .
Mandiant, que está rastreando la actividad bajo el nombre UNC4841 , describió al actor de amenazas como «altamente sensible a los esfuerzos defensivos» y capaz de modificar activamente su modus operandi para mantener un acceso persistente a los objetivos.
«UNC4841 implementó malware nuevo y novedoso diseñado para mantener la presencia en un pequeño subconjunto de objetivos de alta prioridad que comprometió antes de que se lanzara el parche o poco después de la guía de remediación de Barracuda», dijo la firma de inteligencia de amenazas propiedad de Google en un nuevo informe técnico . publicado hoy.
Casi un tercio de las organizaciones afectadas identificadas son agencias gubernamentales. Curiosamente, algunos de los primeros compromisos parecen haber tenido lugar en un pequeño número de dispositivos geolocalizados en China continental.
Los ataques implican la explotación de CVE-2023-2868 para implementar malware y realizar actividades posteriores a la explotación. En casos selectos, las intrusiones han llevado a la implementación de malware adicional, como SUBMARINE (también conocido como DEPTHCHARGE), para mantener la persistencia en respuesta a los esfuerzos de remediación.
Un análisis más detallado de la campaña ha revelado una «disminución clara de la actividad aproximadamente del 20 al 22 de enero de 2023», coincidiendo con el comienzo del Año Nuevo chino, seguida de dos aumentos, uno después de la notificación pública de Barracuda el 23 de mayo de 2023. y un segundo a principios de junio de 2023.
Se dice que esto último implicó que el atacante «intenta mantener el acceso a entornos comprometidos mediante el despliegue de las nuevas familias de malware SKIPJACK, DEPTHCHARGE y FOXTROT/FOXGLOVE».
Si bien SKIPJACK es un implante pasivo que registra un oyente para encabezados de correo electrónico entrantes específicos antes de decodificar y ejecutar su contenido, DEPTHCHARGE está precargado en el demonio Barracuda SMTP (BSMTP) utilizando la variable de entorno LD_PRELOAD y recupera comandos cifrados para su ejecución.
El primer uso de DEPTHCHARGE se remonta al 30 de mayo de 2023, apenas unos días después de que Barracuda revelara públicamente la falla. Mandiant dijo que observó que el malware se implementaba rápidamente en un subconjunto de objetivos, lo que indica un alto nivel de preparación y un intento de persistir en entornos de alto valor.
«También sugiere que a pesar de la cobertura global de esta operación, no fue oportunista y que UNC4841 tenía una planificación y financiación adecuadas para anticipar y prepararse para contingencias que potencialmente podrían interrumpir su acceso a las redes objetivo», explicó la compañía.
Se estima que aproximadamente el 2,64 por ciento del total de dispositivos comprometidos han sido infectados con DEPTHCHARGE. Esta victimología abarca entidades gubernamentales estadounidenses y extranjeras, así como proveedores de alta tecnología y tecnología de la información.
La tercera cepa de malware, también entregada selectivamente a los objetivos, es FOXTROT, un implante C++ que se lanza utilizando un programa basado en C denominado FOXGLOVE. Al comunicarse a través de TCP, viene con funciones para capturar pulsaciones de teclas, ejecutar comandos de shell, transferir archivos y configurar un shell inverso.
Es más, las acciones de FOXTROT se superponen con un rootkit de código abierto llamado Reptile , que ha sido ampliamente utilizado por múltiples grupos de hackers chinos en los últimos meses. Esto también incluye UNC3886 , un actor de amenazas vinculado a la explotación de día cero de una falla de seguridad de gravedad media ahora parcheada en el sistema operativo Fortinet FortiOS
«FOXTROT y FOXGLOVE también son notables porque son las únicas familias de malware observadas utilizadas por UNC4841 que no fueron diseñadas específicamente para Barracuda ESG», señaló Mandiant. «Basado en la funcionalidad, FOXTROT probablemente también estaba destinado a ser implementado en otros dispositivos basados en Linux dentro de una red para permitir el movimiento lateral y el robo de credenciales».
Otro aspecto que destaca a FOXGLOVE y FOXTROT es el hecho de que han sido los implementados de forma más selectiva entre todas las familias de malware utilizadas por UNC4841, utilizándolo exclusivamente para atacar al gobierno o a organizaciones relacionadas con el gobierno.
También se ha detectado al colectivo adversario realizando reconocimientos internos y posteriores acciones de movimiento lateral dentro de un número limitado de entornos de víctimas. Más de un caso implicó el uso de Microsoft Outlook Web Access (OWA) para intentar iniciar sesión en los buzones de correo de los usuarios dentro de las organizaciones.
Como forma alternativa de acceso remoto, el actor de amenaza persistente avanzada (APT) creó cuentas que contenían cuatro caracteres generados aleatoriamente dentro del archivo etc/passwd en aproximadamente el cinco por ciento de los dispositivos afectados anteriormente.
Las conexiones chinas de UNC4841 se ven reforzadas aún más por las similitudes de infraestructura entre el grupo y otro grupo no categorizado con nombre en código UNC2286, que, a su vez, comparte superposiciones con otras campañas de espionaje chinas rastreadas como FamousSparrow y GhostEmperor .
La última divulgación se produce en el contexto de que la Oficina Federal de Investigaciones (FBI) de EE. UU. insta a los clientes afectados a reemplazar sus electrodomésticos ESG con efecto inmediato, citando un riesgo continuo.
«UNC4841 es un actor con buenos recursos que ha utilizado una amplia gama de malware y herramientas diseñadas específicamente para permitir sus operaciones de espionaje global», dijo la compañía, destacando la capacidad del actor de amenazas para implementar selectivamente más cargas útiles en entornos de víctimas específicos.
«La infraestructura compartida y las técnicas de anonimización son comunes entre los actores chinos de ciberespionaje, al igual que las herramientas compartidas y los probables recursos de desarrollo de malware. Es probable que sigamos observando operaciones chinas de ciberespionaje dirigidas a la infraestructura de borde con vulnerabilidades de día cero y el despliegue de malware personalizado para ecosistemas de dispositivos específicos».
Fuente y redacción: thehackernews.com