Компанія Barracuda, яка займається мережевою й електронною безпекою, 21 грудня віддалено виправила вразливість нульового дня на всіх активних пристроях Email Security Gateway (ESG). Цю вразливість використовували китайські хакери UNC4841, повідомляє BleepingComputer.
Днем пізніше компанія розгорнула другу хвилю оновлень безпеки на вже скомпрометованих пристроях ESG, де зловмисники розгорнули зловмисне програмне забезпечення SeaSpy і Saltwater.
Розкритий напередодні Різдва та відстежений як CVE-2023-7102 нульовий день пов’язаний зі слабкістю сторонньої бібліотеки Spreadsheet::ParseExcel, яка використовується сканером вірусів Amavis, що працює на пристроях Barracuda ESG.
Зловмисники можуть використати вразливість для виконання довільного коду на невиправлених пристроях ESG через впровадження параметрів.
Компанія також подала ідентифікатор CVE-2023-7101 CVE для окремого відстеження помилки в бібліотеці з відкритим кодом, яка все ще очікує виправлення.
«Наразі від клієнтів не вимагається жодних дій, наше розслідування триває», – йдеться в офіційному повідомленні.
У Barracuda, яка співпрацює з Mandiant, вважають, що ця діяльність пов’язана із продовженням операцій китайського актора Nexus, який відстежується як UNC4841.
«Організаціям, які використовують Spreadsheet::ParseExcel у своїх продуктах або послугах, ми рекомендуємо переглянути CVE-2023-7101 і негайно вжити необхідних заходів для виправлення», – додали у компанії Barracuda.
Друга хвиля атак нульового дня цього року
У травні та сама група хакерів використала ще один нульовий день (CVE-2023-2868), щоб атакувати пристрої Barracuda ESG у межах кампанії кібершпигунства.
Було виявлено, що хакери зловживали нульовим днем під час атак протягом принаймні 7 місяців із жовтня 2022 року для розгортання раніше невідомого зловмисного програмного забезпечення та вилучення даних зі скомпрометованих систем.
Вони розгорнули зловмисне програмне забезпечення SeaSpy і Saltwater, а також шкідливий інструмент SeaSide для отримання віддаленого доступу до зламаних систем через зворотні оболонки.
Зловмисне програмне забезпечення Submarine (відоме як DepthCharge) і Whirlpool було розгорнуто в тих самих атаках, що й корисні навантаження на пізнішому етапі, щоб підтримувати стійкість невеликої кількості раніше скомпрометованих пристроїв у мережах високоцінних цілей.
Ціллю зловмисників було шпигунство. Хакери UNC4841 брали участь у цілеспрямованій ексфільтрації зі зламаних мереж до високопоставлених державних і високотехнологічних користувачів.
За даними фірми з кібербезпеки Mandiant, майже третина зламаних у травневій кампанії пристроїв належала державним установам, більшість із них зазнали втручань у період із жовтня до грудня 2022 року.
Після травневих атак фахівці Barracuda попередили клієнтів, що вони повинні негайно замінити всі зламані пристрої, навіть ті, які вже виправили (приблизно 5% усіх пристроїв було зламано під час атак).
Представники компанії зазначили, що понад 200 тисяч організацій по всьому світу використовують їхні продукти, включно з такими провідними компаніями як Samsung, Kraft Heinz, Mitsubishi та Delta Airlines.
Раніше ProIT повідомляв, що хакери намагалися вкрасти 900 ГБ даних Ubisoft.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!