.
No final de maio, investigadores expulsaram uma equipa de hackers estatais da China que, nos sete meses anteriores, exploraram uma vulnerabilidade crítica que lhes deu backdoors nas redes de quem é quem de organizações sensíveis. A Barracuda, o fornecedor de segurança cujo Email Security Gateway estava sendo explorado, implantou um patch a partir de 18 de maio e, alguns dias depois, um script foi projetado para erradicar os hackers, que em alguns casos tinham acesso backdoor desde outubro anterior.
Mas os atacantes tinham outros planos. Sem o conhecimento da Barracuda e dos pesquisadores da empresa de segurança Mandiant, Barracuda, contratada para remediar, os hackers iniciaram grandes contra-ataques nos dias seguintes à divulgação da vulnerabilidade pela Barracuda em 20 de maio. Roteiro Barracuda. Poucos dias depois, os hackers lançaram o DepthCharge, um malware nunca antes visto que eles já tinham em mãos, provavelmente porque haviam antecipado a tentativa de remoção do Barracuda.
Preparando-se para o inesperado
Sabendo que suas vítimas mais valiosas instalariam as correções do Barracuda em questão de dias, os hackers, rastreados como UNC4841, invadiram e mobilizaram o DepthCharge para garantir que os dispositivos recém-implantados, substituindo os antigos infectados, se reinfectassem. Os contra-ataques bem orquestrados falam dos recursos financeiros dos hackers, para não mencionar a sua habilidade e a eficácia dos seus TTPs, abreviaturas de tácticas, técnicas e procedimentos.
“Essa capacidade e sua implantação sugerem que o UNC4841 antecipou e foi preparado para esforços de remediação com ferramentas e TTPs projetados para permitir que eles persistissem em alvos de alto valor”, escreveram os pesquisadores da Mandiant, Austin Larsen, John Palmisano, John Wolfram, Mathew Potaczek e Michael Raggi. em uma postagem na terça-feira. “Também sugere que, apesar da cobertura global desta operação, não foi oportunista e que a UNC4841 tinha planeamento e financiamento adequados para antecipar e preparar-se para contingências que poderiam potencialmente perturbar o seu acesso às redes alvo.”
Os investigadores afirmaram que, no momento em que redigiram o seu relatório, “um número limitado de vítimas anteriormente afetadas continuava em risco devido a esta campanha. O UNC4841 demonstrou interesse em um subconjunto de vítimas prioritárias – é nos dispositivos dessas vítimas que malware adicional, como o backdoor DEPTHCHARGE, foi implantado para manter a persistência em resposta aos esforços de remediação.”
Em algum momento de outubro, o UNC4841 começou a explorar uma vulnerabilidade incomumente poderosa rastreada como CVE-2023-2868, que estava presente em todos os dispositivos Barracuda Email Security Gateway vendidos nos últimos anos. Uma falha na maneira como os dispositivos de gateway analisavam a lógica durante o processamento de arquivos TAR proporcionou aos hackers a capacidade poderosa de injetar remotamente comandos diretamente no fluxo do dispositivo. Melhor ainda, a injeção foi fácil de acionar. Ao anexar um arquivo especialmente criado a um e-mail e enviá-lo para endereços atrás do perímetro de um dispositivo ESG vulnerável, o UNC4841 tinha um backdoor persistente em centenas de redes de alto valor.
Injetando shellcode, cortesia de $f
Mais tecnicamente falando, o bug residia na forma como os aparelhos executavam o qx{} rotina na linguagem de programação Perl. Ele efetivamente permitiu que anexos maliciosos injetassem código shell que o e-mail transmitia diretamente para o sistema operacional do dispositivo usando a variável controlada pelo usuário $f. O seguinte código ESG está no epicentro da vulnerabilidade: qx{$tarexec -O -xf $tempdir/parts/$part '$f'};
Como os investigadores observaram anteriormente, a campanha já estava estreitamente focada nos alvos mais seleccionados. De acordo com a Mandiant, apenas cerca de 5% dos dispositivos de gateway de segurança existentes foram infectados. Supondo uma estimativa da empresa de segurança Rapid7 de cerca de 11.000 dispositivos (um número que a Rapid7 disse que pode estar inflacionado), isso equivale a algo entre 400 e 500.
Além do DepthCharge, o UNC4841 implantou dois outros malwares na segunda onda de seu contra-ataque. Um é rastreado como SkipJack e o outro como FoxTrot ou FoxGlove. SkipJack foi o mais amplamente implantado dos três. Era um backdoor bastante típico que funcionava injetando código malicioso em módulos legítimos do dispositivo Barracuda. O SkipJack foi instalado em 5,8% dos dispositivos de gateway infectados. Supondo que o número total de dispositivos infectados fosse 500 (5 por cento de 10.000 dispositivos), o número de dispositivos infectados atualizados com SkipJack teria sido 29. As vítimas deste grupo incluíam organizações em vários níveis de governo, militar, defesa e aeroespacial, alta tecnologia e telecomunicações.
.
