Barracuda Zero-Day-Schwachstelle: Risiken für Regierung und Militär
Eine mutmaßliche Hackerorganisation mit Verbindungen nach China hat kürzlich eine neu entdeckte Zero-Day-Schwachstelle in Barracuda Networks Email Security Gateway (ESG)-Geräten ausgenutzt. Diese Barracuda-Zero-Day-Schwachstelle hat globale Auswirkungen und betrifft die Regierung, das Militär, die Verteidigung, die Luft- und Raumfahrt, die High-Tech-Industrie und die Telekommunikationsbranche. Gehen wir näher auf die Einzelheiten dieses Cybersecurity-Problems und seine möglichen Auswirkungen ein.
Der mysteriöse Täter: UNC4841
Mandiant, ein bekanntes Threat Intelligence-Unternehmen, beobachtet aktiv die in China ansässige Hackergruppe "UNC4841." Sie beschreiben diesen Bedrohungsakteur als sehr anpassungsfähig und in der Lage, seine Strategien zu ändern, um ständig Zugang zu seinen Zielen zu haben. UNC4841 hat kreative Malware verwendet, um in hochrangige Organisationen einzudringen und hat nutzte die Zero-Day-Schwachstelle in Barracuda-Produkten.
Erstaunlich, machen Regierungsbehörden etwa ein Drittel der Organisationen aus, die die von diesem Hack betroffen waren. Allerdings wurden die ersten Angriffe auf Geräten in China entdeckt, was Aufschluss über die möglichen Ursprünge des Angriffs gibt.
Barracuda Zero-Day-Schwachstelle: Ausnutzung von CVE-2023-2868
Die Funktionsweise dieser Bedrohung der Cybersicherheit für Regierung und Militär ist die Verwendung von CVE-2023-2868 zur Einschleusung von Malware und zur Durchführung von Post-Exploitation-Operationen. Der Angriff hat in einigen Fällen zur Verbreitung zusätzlicher Malware wie SUBMARINE (auch bekannt als DEPTHCHARGE) geführt, um die Persistenz trotz Korrekturmaßnahmen sicherzustellen.
Der beobachtete Rückgang der Aktivität um das chinesische Neujahrsfest, gefolgt von zwei Anstiegen, ist ein bemerkenswerter Bestandteil dieser Kampagne. Die erste Offenlegung der Barracuda-Zero-Day-Schwachstelle erfolgte am 23. Mai 2023nach Barracudas öffentlicher Bekanntgabe, während die zweite erfolgte Anfang Juni 2023. Während der zweiten Welle versuchten die Angreifer, den Zugang zu erhalten, indem sie zusätzliche Malware-Familien, darunter SKIPJACK, DEPTHCHARGE und FOXTROT / FOXGLOVE, verbreiteten.
SKIPJACK ist ein passives Implantat, das bestimmte E-Mail-Kopfzeilen und Betreffzeilen überwacht, während DEPTHCHARGE in den Barracuda SMTP (BSMTP) Daemon integriert ist und verschlüsselte Befehle ausführt. FOXTROT hingegen ist ein C++-Implantat, das über FOXGLOVE gestartet wird und für Aufgaben wie das Abfangen von Tastatureingaben, die Ausführung von Shell-Befehlen, die Dateiübertragung und die Reverse-Shell-Konfiguration vorgesehen ist.
Der schnelle Einsatz von DEPTHCHARGE nach dem Barracuda Sicherheitsupdate und Patch deutet darauf hin, dass UNC4841 eine gründliche Planung und enorme Ressourcen zur Verfügung hat. Diese Operation scheint alles andere als opportunistisch zu sein und unterstreicht die Fähigkeit des Bedrohungsakteurs, potenzielle Unterbrechungen vorherzusehen und zu steuern.
Auswirkungen der Zero-Day-Schwachstelle auf Sektoren: Chinesische Beteiligung
DEPTCHARGE infiziert etwa 2,64 Prozent der kompromittierten Geräte und betraf sowohl US-amerikanische als auch ausländische Regierungen sowie Hightech- und Informationstechnologieunternehmen. FOXTROT und FOXGLOVE wurden zwar nicht ausschließlich von Barracuda ESGs eingesetzt, zielten aber selektiv auf regierungsnahe Organisationen ab.
Die UNC4841 hat sich bei der internen Aufklärung und der lateralen Mobilität in gefährdeten Situationen als geschickt erwiesen. Insbesondere versuchten sie unbefugten Zugriff auf Postfächer innerhalb von Organisationen mit Microsoft Outlook Web Access (OWA). Sie richteten auch Konten mit zufälligen Zeichen auf einer Teilmenge der betroffenen Geräte ein und boten so einen alternativen Fernzugriffspfad.
Ähnlichkeiten in der Infrastruktur mit einem anderen Cluster mit der Bezeichnung UNC2286 unterstreichen die Verbindung zwischen UNC4841 und China. UNC2286 steht auch im Zusammenhang mit den chinesischen Spionageprojekten FamousSparrow und GhostEmperor. In Anbetracht dieses Barracuda-Sicherheitsrisikos im Militärsektorhat das FBI den betroffenen Kunden geraten, ihre ESG-Geräte aufgrund der anhaltenden Bedrohungen so schnell wie möglich auszutauschen.
Schlussfolgerung
Endlich, Die Aktionen von UNC4841 zeigen die sich ständig verändernde Arena der Cyberspionage. Ihre Agilität und ihre Fähigkeit, bestimmte Bereiche ins Visier zu nehmen, verdeutlichen die Komplexität der modernen Bedrohungen der Cybersicherheit. Organisationen, insbesondere solche in sensiblen Branchen, müssen aufmerksam bleiben und wirksamen Sicherheitsmaßnahmen Vorrang einräumen, um folgende Risiken zu vermeiden Cybersicherheitsrisiken für kritische Infrastrukturen.
Die digitale Welt entwickelt sich weiter, der Schutz von Regierungsnetzwerken vor Zero-Day-Angriffen und das Abwehren von Schwachstellen entscheidend geworden. Die Bewältigung dieser Probleme kann diesen Organisationen helfen ihr geistiges Eigentum zu schützen und aufkommende Bedrohungen zu bekämpfen.
Die Quellen für diesen Artikel sind unter anderem Artikel in Die Hacker-Nachrichten und Spiceworks.