Çinli Bilgisayar Korsanları, Barracuda'nın ESG Cihazlarında Yeni Sıfır Günden Yararlandı
Barracuda, Çinli tehdit aktörlerinin "sınırlı sayıda" cihaza arka kapılar dağıtmak için E-posta Güvenlik Ağ Geçidi (ESG) cihazlarında yeni bir sıfır günden yararlandığını ortaya çıkardı.
CVE-2023-7102 olarak izlenen sorun, ağ geçidi içindeki Amavis tarayıcı tarafından Microsoft Excel e-posta eklerini kötü amaçlı yazılımlara karşı taramak için kullanılan Spreadsheet::P arseExcel adlı üçüncü taraf ve açık kaynaklı bir kitaplıkta bulunan rastgele kod yürütme durumuyla ilgilidir.
Şirket, etkinliği Google'a ait Mandiant tarafından UNC4841 olarak izlenen ve daha önce bu yılın başlarında Barracuda cihazlarında başka bir sıfır günün (CVE-2023-2868, CVSS puanı: 9.8) aktif olarak kullanılmasıyla bağlantılı olan bir tehdit aktörüne bağladı.
Yeni kusurun başarılı bir şekilde kullanılması, özel hazırlanmış bir Microsoft Excel e-posta eki aracılığıyla gerçekleştirilir. Bunu, kalıcılık ve komut yürütme yetenekleri sunmak üzere donatılmış, SEASPY ve SALTWATER adı verilen bilinen implantların yeni varyantlarının konuşlandırılması takip ediyor.
Mandiant kıdemli olay müdahale danışmanı Austin Larsen, The Hacker News ile paylaşılan bir açıklamada, "Bir hedef UNC4841'dan kötü amaçlı Excel eki içeren bir e-posta aldığında, e-posta Barracuda ESG cihazı tarafından taranır ve böylece Excel dosyasında bulunan kötü amaçlı kod yürütülür" dedi. "Bu, son kullanıcının etkileşimini gerektirmez, bu da onu son derece etkili ve etkili hale getirir."
Barracuda, 21 Aralık 2023'te "otomatik olarak uygulanan" bir güvenlik güncellemesi yayınladığını ve başka bir müşteri eylemi gerekmediğini söyledi.
Ayrıca, bir gün sonra "yeni tanımlanan kötü amaçlı yazılım varyantlarıyla ilgili uzlaşma göstergeleri sergileyen, güvenliği ihlal edilmiş ESG cihazlarını düzeltmek için bir yama dağıttığına" dikkat çekti. Uzlaşmanın ölçeğini açıklamadı.
Bununla birlikte, Elektronik Tablo::P arseExcel Perl modülündeki (sürüm 0.65) orijinal kusur yamalanmamış olarak kalır ve CVE tanımlayıcısı CVE-2023-7101 olarak atanmıştır, bu da alt kullanıcıların uygun düzeltici eylemi gerçekleştirmesini gerektirir.
Kampanyayı araştıran Mandiant'a göre, Ekim 2022'den bu yana en az 16 ülkede bulunan bir dizi özel ve kamu sektörü kuruluşunun etkilendiği tahmin ediliyor.
Google Cloud, CVE-2023-7102'nin 30 Kasım 2023'ten önce olmamak üzere, esas olarak ABD ve Asya-Pasifik bölgelerinde bulunan yüksek teknoloji, bilgi teknolojisi sağlayıcıları ve devlet kurumlarını hedef aldığını gözlemlediğini söyledi.
En son gelişme, mevcut boşluklar kapanırken yüksek öncelikli hedeflere erişimi sürdürmek için yeni taktik ve tekniklerden yararlanarak UNC4841'nin uyarlanabilirliğini bir kez daha ortaya koyuyor.
Larsen, "Bu son kampanya, bu aktörün son UNC4841 kampanyadaki ısrarını daha da gösteriyor" dedi. "Mandiant, bu tehdit aktörünün hedefli saldırı yüzeyini gelecekte daha çeşitli istismarlarla diğer cihazlara genişletebileceğini tahmin ediyor."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı