Um grupo de hackers suspeito com conexões com a China explorou uma falha recentemente revelada em aparelhos da Barracuda Networks Email Security Gateway (ESG) para violar setores de governo, militares, defesa e aeroespacial, indústria de alta tecnologia e telecomunicações, como parte de uma campanha global de espionagem.
A Mandiant, que está acompanhando a atividade sob o nome de UNC4841, descreveu o agente de ameaça como "altamente responsivo a esforços defensivos" e capaz de ajustar ativamente seu modus operandi para manter acesso persistente a alvos.
"A UNC4841 implementou novos e inovadores malwares projetados para manter presença em um pequeno subconjunto de alvos de alta prioridade que comprometeu antes do patch lançado, ou logo após a orientação de remediação da Barracuda", disse a Mandiant, empresa de inteligência de ameaças propriedade do Google, em um novo relatório técnico publicado hoje.
Quase um terço das organizações afetadas identificadas são agências governamentais.
Curiosamente, algumas das primeiras invasões parecem ter ocorrido em um pequeno número de dispositivos localizados geograficamente na China.
Os ataques envolvem a exploração do
CVE-2023-2868
para implantar malware e conduzir atividades pós-exploração.
Em alguns casos, as invasões levaram à implantação de malware adicional, como o SUBMARINE (também conhecido como DEPTHCHARGE), para manter a persistência em resposta aos esforços de remediação.
Mais adiante na análise da campanha, foi revelado uma "queda distinta na atividade de aproximadamente 20 a 22 de janeiro de 2023", coincidindo com o início do Ano Novo Chinês, seguido por dois picos, um depois do anúncio público da Barracuda em 23 de maio de 2023, e um segundo no início de junho de 2023.
O último envolveu o atacante "tentando manter acesso a ambientes comprometidos através da implantação das novas famílias de malwares SKIPJACK, DEPTHCHARGE e FOXTROT/FOXGLOVE."
Enquanto SKIPJACK é um implante passivo que registra uma escuta para cabeçalhos e assuntos de e-mail recebidos antes de decodificar e executar seu conteúdo, DEPTHCHARGE é pré-carregado no daemon Barracuda SMTP (BSMTP) usando a variável de ambiente LD_PRELOAD e recupera comandos criptografados para execução.
O uso mais antigo de DEPTHCHARGE remonta a 30 de maio de 2023, poucos dias após a Barracuda divulgar publicamente a falha.
A Mandiant afirmou que observou o malware sendo rapidamente implantado em um subconjunto de alvos, indicando um alto nível de preparação e uma tentativa de persistir em ambientes de alto valor.
"Isto também sugere que, apesar da cobertura global desta operação, ela não foi oportunista, e que a UNC4841 tinha planejamento e financiamento adequados para antecipar e se preparar para contingências que poderiam potencialmente interromper seu acesso às redes de alvo", explicou a empresa.
Cerca de 2,64% do total de aparelhos comprometidos estimados foram infectados com DEPTHCHARGE.
Esta vitimologia estende-se a entidades governamentais dos EUA e estrangeiras, bem como a prestadores de alta tecnologia e tecnologia da informação.
A terceira cepa de malware, também entregue seletivamente aos alvos, é o FOXTROT, um implante C++ que é lançado usando um programa baseado em C chamado FOXGLOVE.
Comunicando-se via TCP, ele vem com recursos para capturar atalhos de teclado, executar comandos de shell, transferir arquivos e configurar um shell reverso.
Além disso, o FOXTROT compartilha semelhanças com um rootkit de código aberto chamado Reptile, que tem sido usado extensivamente por várias equipes de hackers chineses nos últimos meses.
Isso também compreende o UNC3886, um ator de ameaça vinculado à exploração zero-day de uma falha de segurança de média gravidade agora corrigida no sistema operacional Fortinet FortiOS.
"FOXTROT e FOXGLOVE também são notáveis em que são as únicas famílias de malware observadas sendo usadas pela UNC4841 que não foram especificamente projetadas para Barracuda ESGs", ressaltou a Mandiant.
"Com base na funcionalidade, é provável que FOXTROT também tenha sido destinado a ser impl(matem) em outros dispositivos baseados em Linux dentro de uma rede para permitir o movimento lateral e o roubo de credenciais."
Outro aspecto que faz FOXGLOVE e FOXTROT se destacarem é o fato de terem sido os mais seletivamente implantados dentre todas as famílias de malware utilizadas pela UNC4841, usando-o exclusivamente para atingir organizações governamentais ou relacionadas ao governo.
O coletivo adversário também tem sido detectado realizando ações de reconhecimento interno e movimento lateral subsequente dentro de um número limitado de ambientes de vítimas.
Mais de um caso envolveu a utilização do Microsoft Outlook Web Access (OWA) para tentar fazer login em caixas de correio de usuários dentro das organizações.
Como uma forma alternativa de acesso remoto, o ator de ameaça persistente avançado (APT) criou contas contendo quatro caracteres gerados aleatoriamente dentro do arquivo etc/passwd em cerca de cinco por cento dos aparelhos anteriormente impactados.
As conexões chinesas da UNC4841 são ainda mais reforçadas pelas semelhanças de infraestrutura entre o grupo e outro aglomerado não categorizado codificado como UNC2286, que, por sua vez, compartilha sobreposições com outras campanhas de espionagem chinesas rastreadas como FamousSparrow e GhostEmperor.
A última revelação ocorre no contexto do Federal Bureau of Investigation (FBI) dos EUA.
Instando os clientes impactados a substituírem seus aparelhos ESG com efeito imediato, citando risco contínuo.
"A UNC4841 é um ator bem financiado que utilizou uma ampla variedade de malwares e ferramentas desenvolvidas para auxiliar suas operações globais de espionagem", disse a empresa, destacando a capacidade do ator de ameaça de implantar mais payloads maliciosos seletivamente em ambientes de vítimas específicos.
"Infraestrutura e técnicas compartilhadas para anonimização são comuns entre os atores de espionagem cibernética chinesa, assim como é compartilhado o tooling e, provavelmente, os recursos de desenvolvimento de malware.
É provável que continuaremos a observar operações de espionagem cibernética chinesa tendo como alvo a infraestrutura de borda com vulnerabilidades de zero-day e a implantação de malware personalizado para ecossistemas específicos de aparelhos."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...