Mandiant公司称黑客组织利用巴拉克达零日漏洞,针对政府、军事和电信领域进行攻击

Mandiant公司称黑客组织利用巴拉克达零日漏洞,针对政府、军事和电信领域进行攻击

Thehackernews 发文称一名涉嫌与中国有关的黑客组织利用最近披露的巴拉克达网络电子邮件安全网关(ESG)设备的零日漏洞,作为一项全球间谍活动的一部分,入侵了政府、军事、国防和航空航天、高科技行业以及电信领域。

追踪该活动的Mandiant公司将威胁行为称为“UNC4841”,并描述该威胁行为者“对防御措施高度敏感”,并能够主动调整其作案方式以保持对目标的持续访问。

Google旗下的威胁情报公司在今天发布的一份新的技术报告中表示:“UNC4841部署了新的、独特的恶意软件,旨在在补丁发布之前或巴拉克达提供修复指南后的短时间内,保持对一小部分高优先级目标的存在。”

被确认受影响的组织中有近三分之一是政府机构。有趣的是,最早的一些受损设备疑似位于国内部分地区。

这些攻击利用CVE-2023-2868漏洞来部署恶意软件并进行后续利用活动。在某些情况下,入侵行为还会导致部署其他恶意软件,例如SUBMARINE(又称DEPTHCHARGE),以应对修复措施并保持持久性。

对该行动的进一步分析揭示了一个“明显的活动下降,从2023年1月20日到1月22日左右”,与国内农历新年的开始相吻合,随后出现两次激增,一次是在2023年5月23日巴拉克达发布公告之后,另一次是在2023年6月初。

据称,后者涉及攻击者“通过部署新的恶意软件家族SKIPJACK、DEPTHCHARGE和FOXTROT/FOXGLOVE,试图维持对受损环境的访问”。

SKIPJACK是一种被动植入程序,它在解码和运行特定传入电子邮件头和主题之前注册监听器。而DEPTHCHARGE则是通过使用LD_PRELOAD环境变量预加载到Barracuda SMTP(BSMTP)守护程序中,并检索加密的命令以进行执行。

Mandiant公司称黑客组织利用巴拉克达零日漏洞,针对政府、军事和电信领域进行攻击

DEPTHCHARGE最早的使用可以追溯到2023年5月30日,仅仅是在巴拉克达公开披露漏洞几天后。曼迪亚表示,他们观察到这种恶意软件迅速部署到一部分目标上,这表明攻击者做了高度的准备,并试图在高价值环境中持久存在。

公司解释道:“这也表明,尽管这次行动覆盖全球,但它并非机会主义,UNC4841有足够的规划和资金来预见和应对可能干扰他们对目标网络访问的突发情况。”

据估计,大约有2.64%的受感染设备中被DEPTHCHARGE感染。受害者包括美国和外国政府机构,以及高科技和信息技术提供商。

第三种恶意软件株系是FOXTROT,也是有选择性地传送给目标的。它是一个使用C++编写的植入程序,通过名为FOXGLOVE的基于C的程序来启动。它通过TCP进行通信,并具有捕获按键、运行shell命令、传输文件和设置反向shell等功能。

此外,FOXTROT与一个名为Reptile的开源rootkit有一些重叠之处。其中还包括与Fortinet FortiOS操作系统中一个中等严重性安全漏洞的零日利用相关的威胁行为者UNC3886。

Mandiant公司称黑客组织利用巴拉克达零日漏洞,针对政府、军事和电信领域进行攻击

曼迪安特指出:“FOXTROT和FOXGLOVE还有一个显著之处,就是它们是UNC4841使用的唯一一种并非专门针对Barracuda ESGs设计的恶意软件家族。根据其功能,FOXTROT很可能也被用于部署到网络中的其他基于Linux的设备上,以实现横向移动和凭证窃取。”

FOXGLOVE和FOXTROT之所以与众不同的另一个方面是,它们是UNC4841使用的所有恶意软件家族中部署最有选择性的,专门用于针对政府或与政府相关的组织。

还检测到对手集体在有限数量的受害者环境中进行内部侦察和随后的横向移动行动。其中有一个案例涉及利用Microsoft Outlook Web Access(OWA)尝试登录组织内用户的邮箱。

作为远程访问的另一种形式,这个高级持续性威胁(APT)行为者在先前受影响的设备中的/etc/passwd文件中创建了包含四个随机生成字符的账户,大约占受影响设备的百分之五。

(0)
上一篇 2023年8月30日 下午3:51
下一篇 2023年9月7日 下午7:45

相关推荐

  • MOVEit 黑客针对软件供应链的攻击以及带给我们的教训

    当像2023年的MOVEit黑客攻击这样的网络攻击成为全球新闻头条时,人们往往关注受影响的组织名称或受影响的人数。虽然这种关注是可以理解的,但对类似MOVEit攻击中发生的事情进行适当分析对于制定具体的网络安全措施以防止类似事件发生是有用的。 本文概述了MOVEit黑客攻击,并旨在为您的业务提供一些重要的可操作性结论。 什么是MOVEit黑客攻击? 2023…

    2023年8月24日
    0
  • curl&libcurl高危漏洞CVE-2023-38545即将公开,如何应对?

    背景 Curl是从1998年开始开发的开源网络请求命令行工具,其中包含的libcurl也被作为组件广泛用于应用的HTTP请求。 10月4日,curl项目的作者bagder(Daniel Stenberg)在GitHub中预告将于10月11日发布 8.4.0 版本,并公开两个漏洞:CVE-2023-38545和CVE-2023-38546。其中 CVE-202…

    2023年10月10日
    0
  • 软件供应链攻击的演变史

    作者:Vishal Garg 软件供应链攻击在过去几年中迅速增加,包括SolarWinds和Log4Shell在内的一些备受瞩目的事件提高了人们对它们对网络安全构成的潜在风险的认识。 这些攻击引起了公共和私营部门的广泛关注,因此,美国总统于 2021 年 5 月 12 日发布了一项关于改善国家网络安全的行政命令,其中有一个部分专门致力于改善软件供应链安全。 …

    2023年9月7日
    0
  • 剖析美国政府视角下的ICT供应链安全

    2018 年 11 月 15 日,美国国土安全部(DHS)宣布成立了信息和通信技术 (ICT) 供应链风险管理(SCRM)工作组,这个工作组是由美国多个政府部门、IT行业企业代表及通信行业企业代表联合成立的。该组织对外宣传的目标是识别和管理全球 ICT 供应链的风险。 之后该组织非常活跃,2024 年 2 月 6 日,该组织刚刚宣布将工作组延长两年。我们翻阅…

    2024年3月25日
    0
  • 开发者警惕:恶意的Rust库被发现将操作系统信息传输到Telegram频道

    再次表明开发者仍然是软件供应链攻击的目标,一些恶意包在Rust编程语言的crate注册表上被发现。 据上周发布的一份报告称,这些库是由一个名为”amaperf”的用户在2023年8月14日至16日期间上传的。这些包的名称如下:postgress、if-cfg、xrvrv、serd、oncecell、lazystatic和envlogg…

    2023年8月30日
    0