Ataques zero-day do Barracuda ESG ligados a hackers chineses
16 de Junho de 2023

Um grupo de hackers pró-China suspeito, rastreado pela Mandiant como UNC4841, foi vinculado a ataques de roubo de dados em dispositivos Barracuda ESG (Email Security Gateway) usando uma vulnerabilidade de dia zero agora corrigida.

A partir de aproximadamente 10 de outubro de 2022, os atores da ameaça começaram a explorar a CVE-2023-2868 , uma vulnerabilidade de injeção de comando remoto de dia zero no módulo de verificação de anexo de e-mail da Barracuda.

Desde outubro de 2022, a vulnerabilidade foi explorada para deixar malwares desconhecidos anteriormente em dispositivos vulneráveis e roubar dados.

Recentemente, a Barracuda decidiu exigir que os clientes afetados substituam seus dispositivos gratuitamente em vez de reimplementá-los com novo firmware, o que levou muitos a acreditar que os atores da ameaça comprometeram os dispositivos em um nível baixo, tornando impossível garantir que estivessem completamente limpos.

A Mandiant revelou que o grupo de hackers responsável por esta exploração é o UNC4841, conhecido por realizar ataques de espionagem cibernética em apoio à República Popular da China.

Os ataques começam com os atores da ameaça enviando e-mails contendo anexos de arquivo maliciosos '.tar' (também arquivos TAR disfarçados como arquivos 'jpg' ou '.dat') que exploram dispositivos ESG vulneráveis.

Quando a Barracuda Email Security Gateway tenta verificar o arquivo, o anexo explora a falha CVE-2023-2868 para executar a execução remota de código no dispositivo.

Uma vez que os atores da ameaça ganham acesso remoto ao dispositivo Barracuda ESG, eles o infectam com famílias de malwares conhecidos como 'Saltwater', 'Seaspy' e 'Seaside' para roubar dados de e-mail dos dispositivos.

UNC4841 direcionou dados específicos para a exfiltração e ocasionalmente alavancou o acesso a um dispositivo ESG para navegar na rede da vítima ou enviar e-mails para outros dispositivos de vítimas.

Quando a Barracuda descobriu a violação e lançou patches, UNC4841 modificou seu malware e diversificou seus mecanismos de persistência para evitar defesas baseadas em IoC.

Com o relógio contra eles, os hackers lançaram uma onda de ataques entre 22 e 24 de maio de 2023, visando dispositivos vulneráveis de agências governamentais e outras organizações importantes em pelo menos 16 países.

Os anexos de arquivos TAR nos e-mails do atacante exploraram a CVE-2023-2868 para executar um payload de shell reverso codificado em base64 em dispositivos ESG vulneráveis.

O payload cria uma nova sessão, um pipe nomeado e um shell interativo, usando OpenSSL para criar um cliente conectando-se a um endereço IP e porta especificados, com a saída padrão direcionada para o pipe nomeado e qualquer saída de erro sendo descartada.

O shell reverso é adicionado em trabalhos cron horários ou diários como um mecanismo de persistência.

Em seguida, os atacantes utilizaram comandos wget para buscar mais payloads de seus servidores C2, principalmente 'Saltwater', 'Seaspy' e 'Seaside'.

Saltwater é um módulo para backdoor do Barracuda SMTP daemon (bsmtpd) que pode fazer upload ou download de arquivos, executar comandos arbitrários ou oferecer capacidades de proxy aos atores ameaçadores.

Seaside é um módulo bsmtpd baseado em Lua que monitora os comandos SMTP HELO/EHLO em busca da presença de instruções codificadas enviadas pelo servidor de comando e controle (C2) do atacante. Quando encontra alguma, ele as decodifica e as envia para o "Whirlpool", uma ferramenta de shell reverso baseada em C.

O terceiro backdoor é Seaspy, uma ferramenta passiva que se estabelece como um filtro PCAP nas portas TCP/25 (SMTP) e TCP/587 e é ativado por um "pacote mágico".

O grupo de hackers esperava que o UNC4841 continuasse tentando diversificar suas TTPs (táticas, técnicas e procedimentos) para evitar detecção, por isso é recomendada alta vigilância.

A ação recomendada é substituir os dispositivos Barracuda ESG comprometidos, independentemente de seu nível de patch, e realizar investigações minuciosas na rede usando os indicadores de comprometimento publicados.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...