Mandiant公司称黑客组织利用巴拉克达零日漏洞,针对政府、军事和电信领域进行攻击

Mandiant公司称黑客组织利用巴拉克达零日漏洞,针对政府、军事和电信领域进行攻击

Thehackernews 发文称一名涉嫌与中国有关的黑客组织利用最近披露的巴拉克达网络电子邮件安全网关(ESG)设备的零日漏洞,作为一项全球间谍活动的一部分,入侵了政府、军事、国防和航空航天、高科技行业以及电信领域。

追踪该活动的Mandiant公司将威胁行为称为“UNC4841”,并描述该威胁行为者“对防御措施高度敏感”,并能够主动调整其作案方式以保持对目标的持续访问。

Google旗下的威胁情报公司在今天发布的一份新的技术报告中表示:“UNC4841部署了新的、独特的恶意软件,旨在在补丁发布之前或巴拉克达提供修复指南后的短时间内,保持对一小部分高优先级目标的存在。”

被确认受影响的组织中有近三分之一是政府机构。有趣的是,最早的一些受损设备疑似位于国内部分地区。

这些攻击利用CVE-2023-2868漏洞来部署恶意软件并进行后续利用活动。在某些情况下,入侵行为还会导致部署其他恶意软件,例如SUBMARINE(又称DEPTHCHARGE),以应对修复措施并保持持久性。

对该行动的进一步分析揭示了一个“明显的活动下降,从2023年1月20日到1月22日左右”,与国内农历新年的开始相吻合,随后出现两次激增,一次是在2023年5月23日巴拉克达发布公告之后,另一次是在2023年6月初。

据称,后者涉及攻击者“通过部署新的恶意软件家族SKIPJACK、DEPTHCHARGE和FOXTROT/FOXGLOVE,试图维持对受损环境的访问”。

SKIPJACK是一种被动植入程序,它在解码和运行特定传入电子邮件头和主题之前注册监听器。而DEPTHCHARGE则是通过使用LD_PRELOAD环境变量预加载到Barracuda SMTP(BSMTP)守护程序中,并检索加密的命令以进行执行。

Mandiant公司称黑客组织利用巴拉克达零日漏洞,针对政府、军事和电信领域进行攻击

DEPTHCHARGE最早的使用可以追溯到2023年5月30日,仅仅是在巴拉克达公开披露漏洞几天后。曼迪亚表示,他们观察到这种恶意软件迅速部署到一部分目标上,这表明攻击者做了高度的准备,并试图在高价值环境中持久存在。

公司解释道:“这也表明,尽管这次行动覆盖全球,但它并非机会主义,UNC4841有足够的规划和资金来预见和应对可能干扰他们对目标网络访问的突发情况。”

据估计,大约有2.64%的受感染设备中被DEPTHCHARGE感染。受害者包括美国和外国政府机构,以及高科技和信息技术提供商。

第三种恶意软件株系是FOXTROT,也是有选择性地传送给目标的。它是一个使用C++编写的植入程序,通过名为FOXGLOVE的基于C的程序来启动。它通过TCP进行通信,并具有捕获按键、运行shell命令、传输文件和设置反向shell等功能。

此外,FOXTROT与一个名为Reptile的开源rootkit有一些重叠之处。其中还包括与Fortinet FortiOS操作系统中一个中等严重性安全漏洞的零日利用相关的威胁行为者UNC3886。

Mandiant公司称黑客组织利用巴拉克达零日漏洞,针对政府、军事和电信领域进行攻击

曼迪安特指出:“FOXTROT和FOXGLOVE还有一个显著之处,就是它们是UNC4841使用的唯一一种并非专门针对Barracuda ESGs设计的恶意软件家族。根据其功能,FOXTROT很可能也被用于部署到网络中的其他基于Linux的设备上,以实现横向移动和凭证窃取。”

FOXGLOVE和FOXTROT之所以与众不同的另一个方面是,它们是UNC4841使用的所有恶意软件家族中部署最有选择性的,专门用于针对政府或与政府相关的组织。

还检测到对手集体在有限数量的受害者环境中进行内部侦察和随后的横向移动行动。其中有一个案例涉及利用Microsoft Outlook Web Access(OWA)尝试登录组织内用户的邮箱。

作为远程访问的另一种形式,这个高级持续性威胁(APT)行为者在先前受影响的设备中的/etc/passwd文件中创建了包含四个随机生成字符的账户,大约占受影响设备的百分之五。

(0)
上一篇 2023年8月30日 下午3:51
下一篇 2023年9月7日 下午7:45

相关推荐

  • 伊朗 APT34 对阿联酋供应链发起攻击

    APT34是什么? APT34是一个伊朗的威胁组织,主要在中东地区活动,针对该地区的各种不同行业的组织。它之前已被关联到对UAE的其他网络监视活动。 这个威胁组织经常发动供应链攻击,利用组织之间的信任关系攻击他们的主要目标,系统地攻击那些似乎是出于战略目的而被精心选择的特定组织。 根据Mandiant的研究,APT34自2014年起就开始活动,使用公开和非公…

    2023年8月9日
    0
  • 首起针对国内金融企业的开源组件投毒攻击事件

    简述 2023年8月9日,墨菲监控到用户名为 snugglejack_org (邮件地址:SnuggleBearrxx@hotmail.com)的用户发布到 NPM 仓库中的 ws-paso-jssdk 组件包具有发向 https://ql.rustdesk[.]net 的可疑流量,经过确认该组件包携带远控脚本,从攻击者可控的 C2 服务器接收并执行系统命令…

    2023年8月18日
    0
  • CSO 们关注的软件供应链安全十个关键问题

    写在前面 自从和几个小伙伴一起创办墨菲安全以来,有一年半多的时间了,创业对于我来说,很有意思的一个地方,就是有机会可以和各行各业很多非常有意思的人一起交流,在这个交流的过程中能够不断的提升自己的认知,以我自己创业之前的经历来说,我接触的大多都是互联网和互联网安全这个圈子的人,而现在有很多机会去接触到更多行业的客户和合作伙伴,可以有机会去了解不同行业的业务、安…

    2023年8月9日
    0
  • Rhysida 勒索软件近期袭击了多家医疗机构

    Rhysida 勒索软件活动由于连续攻击医疗机构而引起了关注,导致政府机构和网络安全公司加强了对其操作的关注。美国卫生与公众服务部(HHS)、CheckPoint、Cisco Talos和Trend Micro均发布了有关Rhysida的报告,聚焦于威胁行为者操作的不同方面。之前在6月,Rhysida因从智利军队窃取的文件泄露而首次引起关注。初始分析显示其加…

    2023年8月11日
    0
  • CrowdStrike的报告显示身份攻击事件有所增加

    随着业界日益增长的安全担忧,CrowdStrike的2023年报告显示了针对云的基于身份的网络入侵攻击的增长。 CrowdStrike宣布发布了其2023年的CrowdStrike威胁狩猎报告,其中揭示了基于身份入侵的大幅增加。这些报告涵盖了CrowdStrike的精英威胁猎人和情报分析师所观察到的攻击趋势和“对手手法”。 报告显示,针对云的更为复杂的网络攻…

    2023年8月11日
    0