Um grupo de hackers pró-China suspeito, rastreado pela Mandiant como UNC4841, foi vinculado a ataques de roubo de dados em dispositivos Barracuda ESG (Email Security Gateway) usando uma vulnerabilidade de dia zero agora corrigida.
A partir de aproximadamente 10 de outubro de 2022, os atores da ameaça começaram a explorar a
CVE-2023-2868
, uma vulnerabilidade de injeção de comando remoto de dia zero no módulo de verificação de anexo de e-mail da Barracuda.
Desde outubro de 2022, a vulnerabilidade foi explorada para deixar malwares desconhecidos anteriormente em dispositivos vulneráveis e roubar dados.
Recentemente, a Barracuda decidiu exigir que os clientes afetados substituam seus dispositivos gratuitamente em vez de reimplementá-los com novo firmware, o que levou muitos a acreditar que os atores da ameaça comprometeram os dispositivos em um nível baixo, tornando impossível garantir que estivessem completamente limpos.
A Mandiant revelou que o grupo de hackers responsável por esta exploração é o UNC4841, conhecido por realizar ataques de espionagem cibernética em apoio à República Popular da China.
Os ataques começam com os atores da ameaça enviando e-mails contendo anexos de arquivo maliciosos '.tar' (também arquivos TAR disfarçados como arquivos 'jpg' ou '.dat') que exploram dispositivos ESG vulneráveis.
Quando a Barracuda Email Security Gateway tenta verificar o arquivo, o anexo explora a falha
CVE-2023-2868
para executar a execução remota de código no dispositivo.
Uma vez que os atores da ameaça ganham acesso remoto ao dispositivo Barracuda ESG, eles o infectam com famílias de malwares conhecidos como 'Saltwater', 'Seaspy' e 'Seaside' para roubar dados de e-mail dos dispositivos.
UNC4841 direcionou dados específicos para a exfiltração e ocasionalmente alavancou o acesso a um dispositivo ESG para navegar na rede da vítima ou enviar e-mails para outros dispositivos de vítimas.
Quando a Barracuda descobriu a violação e lançou patches, UNC4841 modificou seu malware e diversificou seus mecanismos de persistência para evitar defesas baseadas em IoC.
Com o relógio contra eles, os hackers lançaram uma onda de ataques entre 22 e 24 de maio de 2023, visando dispositivos vulneráveis de agências governamentais e outras organizações importantes em pelo menos 16 países.
Os anexos de arquivos TAR nos e-mails do atacante exploraram a
CVE-2023-2868
para executar um payload de shell reverso codificado em base64 em dispositivos ESG vulneráveis.
O payload cria uma nova sessão, um pipe nomeado e um shell interativo, usando OpenSSL para criar um cliente conectando-se a um endereço IP e porta especificados, com a saída padrão direcionada para o pipe nomeado e qualquer saída de erro sendo descartada.
O shell reverso é adicionado em trabalhos cron horários ou diários como um mecanismo de persistência.
Em seguida, os atacantes utilizaram comandos wget para buscar mais payloads de seus servidores C2, principalmente 'Saltwater', 'Seaspy' e 'Seaside'.
Saltwater é um módulo para backdoor do Barracuda SMTP daemon (bsmtpd) que pode fazer upload ou download de arquivos, executar comandos arbitrários ou oferecer capacidades de proxy aos atores ameaçadores.
Seaside é um módulo bsmtpd baseado em Lua que monitora os comandos SMTP HELO/EHLO em busca da presença de instruções codificadas enviadas pelo servidor de comando e controle (C2) do atacante. Quando encontra alguma, ele as decodifica e as envia para o "Whirlpool", uma ferramenta de shell reverso baseada em C.
O terceiro backdoor é Seaspy, uma ferramenta passiva que se estabelece como um filtro PCAP nas portas TCP/25 (SMTP) e TCP/587 e é ativado por um "pacote mágico".
O grupo de hackers esperava que o UNC4841 continuasse tentando diversificar suas TTPs (táticas, técnicas e procedimentos) para evitar detecção, por isso é recomendada alta vigilância.
A ação recomendada é substituir os dispositivos Barracuda ESG comprometidos, independentemente de seu nível de patch, e realizar investigações minuciosas na rede usando os indicadores de comprometimento publicados.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...