技術支援
文件
登錄
聯繫我們
梭子魚零日漏洞:政府和軍方面臨的風險
瓦賈哈特·拉賈
實施期間: 2023年9月14 日 - TuxCare專家團隊
一個與中國有聯繫的可疑駭客組織最近利用了梭子魚網路電子郵件安全網關(ESG)設備中新發現的零日漏洞。梭 子魚零日漏洞 具有全球影響,影響政府、軍事、國防、航空航太、高科技產業和電信行業。讓我們深入瞭解這個網路安全問題的細節及其潛在影響。
神秘的肇事者:UNC4841
知名威脅情報公司Mandiant正在積極關注總部位於中國的駭客組織“UNC4841。他們將這種威脅行為者描述為適應性很強,能夠改變策略以不斷訪問其目標。UNC4841使用創造性的惡意軟體進入高優先順序組織,並利用梭子魚產品中的零日漏洞。
令人驚訝的是, 政府機構約佔 此次駭客攻擊暴露組織的三分之一。也就是說,第一個妥協是在中國大陸的設備上發現的,揭示了攻擊的可能起源。
梭子魚零日漏洞:利用CVE-2023-2868
這種對政府和軍方的網路安全威脅的操作模式 是使用 CVE-2023-2868 植入惡意軟體並執行利用後操作。這次攻擊導致了其他惡意軟體的分發,例如SUBSUB(也稱為DEPTHCHARGE),在某些情況下,儘管進行了糾正工作,但仍要確保持久性。
觀察到的農曆新年前後活動下降,隨後出現兩次激增,是該活動的一個值得注意的組成部分。 第一次梭子魚零日漏洞披露發生在2023年5月23日,在梭子魚公開通知之後,第二次發生在2023年6月初。在後一個高峰期,攻擊者試圖通過分發其他惡意軟體家族來保持訪問許可權,包括SKIPJACK,DEPTHCHARGE和FOXTROT / FOXGLOVE。
SKIPJACK是一種被動植入物,用於監控指定的電子郵件標頭和主題,而DEPTHCHARGE則被合併到梭子魚SMTP(BSMTP)守護程式中並執行加密命令。另一方面,FOXTROT 是通過FOXGLOVE啟動的C++植入物,適用於鍵盤捕獲、shell命令執行、文件傳輸和反向shell配置等任務。
在梭子魚安全更新和補丁暴露之後,DEPTHCHARGE的快速部署 意味著UNC4841擁有周密的規劃和巨大的資源可供使用。此操作看起來絕不是機會主義的,突出了威脅參與者預見和導航潛在中斷的能力。
零日漏洞對行業的影響:中國的參與
DEPTCHARGE感染了約2.64%的受感染設備,影響了美國和外國政府以及高科技和資訊技術公司。雖然不是梭子魚ESG的專屬,但FOXTROT和FOXGLOVE被選擇性地用於針對政府相關組織。
事實證明,UNC4841擅長在妥協情況下進行內部偵察和橫向機動。值得注意的是,他們試圖 使用Microsoft Outlook Web Access(OWA)對組織內的郵箱進行未經授權的訪問。他們還在受影響設備的子集上設置了具有隨機字元的帳戶,從而提供了備用遠端訪問路徑。
基礎設施與另一個標有UNC2286集群的相似之處凸顯了UNC4841與中國之間的聯繫。UNC2286也與中國間諜專案FamousSparrow和GhostEmperor有關。鑒於梭子魚在軍事部門存在安全風險,聯邦調查局已建議受影響的客戶儘快更換其ESG設備,以應對持續的威脅。
結論
最後, UNC4841的行動顯示了不斷變化的網路間諜領域。它們針對特定領域的敏捷性和能力凸顯了現代網路安全威脅的複雜性。組織,尤其是敏感行業的組織,必須保持關注並優先考慮有效的安全措施,以避免 關鍵的基礎設施網路安全風險。
隨著數位世界的發展, 保護政府網路免受零日攻擊 和與漏洞搏鬥變得至關重要。解決這些問題可以幫助這些組織保護 其智慧財產權 並應對新出現的威脅。
這篇文章的來源包括The Hacker News和Spiceworks上的文章。
