Ataque ao Barracuda é atribuído a grupo chinês de ciberespionagem

Os ataques que exploram um dispositivo de segurança de e-mail foram vinculados a um grupo chinês de ciberespionagem
Da Redação
15/06/2023

Os ataques recentes que exploram uma vulnerabilidade de dia zero em um dispositivo de segurança de e-mail da Barracuda Networks foram atribuídos pela Mandiant a um grupo chinês de ciberespionagem. Os ataques foram descobertos pela Barracuda no dia 18 de maio e a empresa contratou a Mandiant para ajudar na investigação. A empresa disse que vários parceiros de inteligência e governo também ajudaram na investigação.

A fornecedora de soluções de segurança cibernética atribuiu a campanha a um operador de ameaça chamado UNC4841, que se acredita — com alto grau de confiança  — ser um grupo de ciberespionagem operando em nome do governo chinês. 

Charles Carmakal, CTO da Mandiant Consulting, disse que esta é a “campanha de espionagem cibernética mais ampla conhecida por ser conduzida por um operador de ameaça da China desde a exploração em massa do Microsoft Exchange no início de 2021”, com a segurança de e-mail de centenas de organizações sendo atingida.

A alavancagem de dia zero na campanha, rastreada como CVE-2023-2868, afeta o Barracuda Email Security Gateway (ESG), um módulo projetado para a triagem inicial de anexos de e-mail. Hackers podem explorar a vulnerabilidade para injeção de comando remoto enviando à entidade alvo um e-mail contendo um arquivo TAR especialmente criado como anexo.

Nos ataques observados pela Mandiant, os hackers anexaram o exploit a e-mails mal escritos. A Mandiant avalia que o UNC4841 provavelmente criou o corpo e o assunto da mensagem para se parecer como spam genérico, a fim de ser sinalizado por filtros de spam ou dissuadir os analistas de segurança de realizar uma investigação completa. Ela observou essa tática utilizada por grupos avançados que exploravam vulnerabilidades de dia zero no passado.

O CVE-2023-2868 vem sendo explorado desde ao menos outubro do ano passado para obter acesso inicial aos dispositivos Barracuda. A exploração permitiu que os ciberespiões executassem um shell reverso, após o qual eles baixaram um malware backdoor personalizado para o dispositivo.

Veja isso
Barracuda pede que clientes substituam gateways vulneráveis
Barracuda alerta sobre bug de dia zero em gateways de e-mail

Três principais backdoors personalizadas foram identificadas: SeaSpy, SaltWater e SeaSide. Esses malwares são projetados para comunicações de comando e controle (C&C), download e execução de arquivos, execução de comandos e fornecimento de recursos de proxy. Os invasores também implantaram um rootkit chamado SandBar que parece ocultar o malware SeaSpy.

Além dessas famílias de malware, a Mandiant observou versões trojanizadas de vários módulos Barracuda desenvolvidos com linguagem Lua legítimos, projetados para executar várias ações quando determinados eventos relacionados a e-mail são detectados no dispositivo. Esses módulos Lua foram nomeados SeaSpray e SkipJack pela Mandiant.

Algumas semanas após a detecção do ataque, a Barracuda pediu aos clientes que substituíssem imediatamente os dispositivos comprometidos, indicando que os patches implantados não protegiam totalmente os dispositivos.O UNC4841 foi observado exfiltrando dados relacionados a e-mails de vítimas, incluindo funcionários do governo europeu e asiático no sudeste da Ásia, bem como acadêmicos de alto nível em Hong Kong e Taiwan. Os alvos também incluíram o Ministério das Relações Exteriores da Associação das Nações do Sudeste Asiático (Asean), escritórios de comércio exterior e organizações de pesquisa acadêmica.

Compartilhar: