Un groupe de pirates présumés pro-Chine suivi par Mandiant sous le nom UNC4841 a été lié à des attaques de vol de données sur les appliances Barracuda ESG (Email Security Gateway) utilisant une vulnérabilité zero-day désormais corrigée.
À partir du 10 octobre 2022 environ, les acteurs de la menace ont commencé à exploiter CVE-2023-2868, une vulnérabilité d’injection de commande à distance zero-day dans le module d’analyse des pièces jointes de Barracuda.
Le fournisseur a découvert la faille le 19 mai et a immédiatement révélé que la vulnérabilité était exploitée, la CISA publiant une alerte pour que les agences fédérales américaines appliquent les mises à jour de sécurité.
D’après ce qui a été annoncé à l’époque, CVE-2023-2868 a été exploité depuis octobre 2022 pour déposer des logiciels malveillants jusque-là inconnus sur des appareils vulnérables et voler des données.
Plus tôt ce mois-ci, Barracuda a pris la décision inhabituelle d’exiger que les clients concernés remplacent leurs appareils gratuitement plutôt que de les réimager avec un nouveau micrologiciel.
Cette demande inhabituelle a conduit beaucoup à croire que les acteurs de la menace avaient compromis les appareils à un niveau bas, rendant impossible de s’assurer qu’ils étaient complètement propres.
Mandiant a déclaré à Breachtrace que cela était recommandé par prudence, car Barracuda ne pouvait pas assurer la suppression complète des logiciels malveillants.
« En raison de la sophistication affichée par UNC4841 et du manque de visibilité totale sur toutes les appliances compromises, Barracuda a choisi de remplacer et de ne pas réimager l’appliance à partir de la partition de récupération par prudence », a déclaré John Palmisano, Mandiant Incident Response Manager – Google Cloud , a déclaré à Breachtrace .
« Cette stratégie garantit l’intégrité de tous les appareils dans les situations où Barracuda n’est pas en mesure de s’assurer que la partition de récupération n’a pas été compromise par l’acteur de la menace. »
Attaques liées à des hackers pro-chinois
Aujourd’hui, Mandiant révèle que l’acteur menaçant responsable de cette exploitation est UNC4841, un groupe de piratage connu pour avoir mené des attaques de cyberespionnage en soutien à la République populaire de Chine.
Les attaques commencent par l’envoi par les acteurs de la menace d’e-mails contenant des pièces jointes malveillantes « .tar » (également des fichiers TAR se faisant passer pour des fichiers « .jpg » ou « .dat ») qui exploitent les appareils ESG vulnérables. Lorsque Barracuda Email Security Gateway tente d’analyser le fichier, la pièce jointe exploite la faille CVE-2023-2868 pour exécuter du code à distance sur l’appareil.
« Cela revient en fait à une entrée contrôlée par l’utilisateur non filtrée et non filtrée via la variable $f exécutée en tant que commande système via la routine qx{} de Perl. $f est une variable contrôlée par l’utilisateur qui contiendra les noms de fichiers des fichiers archivés dans un TAR « , explique le rapport de Mandiant.
« Par conséquent, UNC4841 a pu formater les fichiers TAR d’une manière particulière pour déclencher une attaque par injection de commande qui leur a permis d’exécuter à distance des commandes système avec les privilèges du produit Email Security Gateway. »
Une fois que les acteurs de la menace ont obtenu un accès à distance à l’appareil Barracuda ESG, ils l’ont infecté avec des familles de logiciels malveillants appelées « Saltwater », « Seaspy » et « Seaside » pour voler les données de messagerie des appareils.
L’UNC4841 ciblait des données spécifiques pour l’exfiltration et exploitait occasionnellement l’accès à une appliance ESG pour naviguer sur le réseau de la victime ou envoyer du courrier à d’autres appliances de la victime.
Lorsque Barracuda a découvert la brèche et publié des correctifs, UNC4841 a modifié son logiciel malveillant et diversifié ses mécanismes de persistance pour échapper aux défenses basées sur IoC.
Alors que le temps passait, les pirates ont lancé une série d’attaques entre le 22 et le 24 mai 2023, ciblant les appareils vulnérables des agences gouvernementales et d’autres organisations importantes dans au moins 16 pays.
Chaîne d’attaque
Les pièces jointes du fichier TAR sur les e-mails de l’attaquant ont exploité CVE-2023-2868 pour exécuter une charge utile de shell inversé codée en base64 sur des appliances ESG vulnérables.
La charge utile crée une nouvelle session, un canal nommé et un shell interactif, en utilisant OpenSSL pour créer un client se connectant à une adresse IP et un port spécifiés, la sortie standard étant dirigée vers le canal nommé et toute sortie d’erreur étant ignorée.
Le shell inversé est ajouté aux tâches cron horaires ou quotidiennes en tant que mécanisme de persistance.
Ensuite, les attaquants ont utilisé les commandes wget pour récupérer plus de charges utiles sur leurs serveurs C2, principalement « Saltwater », « Seaspy » et « Seaside ».
Saltwater est un module démon SMTP Barracuda (bsmtpd) qui peut charger ou télécharger des fichiers, exécuter des commandes arbitraires ou offrir aux acteurs de la menace des capacités de proxy.
Seaside est un module bsmtpd basé sur Lua qui surveille les commandes SMTP HELO/EHLO pour détecter la présence d’instructions codées envoyées depuis le serveur C2 de l’attaquant. Lorsqu’il en trouve, il les décode et les transmet à « Whirlpool », un outil de shell inversé TLS basé sur C.
La troisième porte dérobée est Seaspy, un outil passif qui s’établit comme un filtre PCAP sur les ports TCP/25 (SMTP) et TCP/587 et est activé par un « paquet magique ».
Pour la persistance, UNC4841 modifie le fichier ‘/etc/init.d/rc’ pour que Seaspy s’exécute après le redémarrage.
Enfin, il y a « Sandbar », que les acteurs de la menace ont utilisé pour cacher les processus du serveur Linux dont le nom commence par « Bar », qui masque les activités de Seaspy en particulier, lui permettant de fonctionner sans être détecté.
Sandbar est ajouté au répertoire /lib/modules qui héberge les modules du noyau Linux ; par conséquent, il est exécuté au démarrage du système.
L’UNC4841 a effectué des étapes de mouvement latéral rapides et a été observé en train de rechercher des e-mails spécifiques dans les appliances compromises, en utilisant des termes de recherche liés à des organisations, des individus ou des sujets d’intérêt spécifiques.
« Dans l’ensemble des entités sélectionnées pour l’exfiltration ciblée des données, des scripts shell ont été découverts qui ciblaient les domaines de messagerie et les utilisateurs du ministère des Affaires étrangères de l’ASEAN (MFA), ainsi que les bureaux du commerce extérieur et les organismes de recherche universitaires à Taïwan et à Hong Kong », a expliqué Mandiant.
Les analystes s’attendent à ce que l’UNC4841 continue d’essayer de diversifier ses TTP (tactiques, techniques et procédures) pour échapper à la détection, une grande vigilance est donc conseillée.
L’action recommandée consiste à remplacer les appliances Barracuda ESG compromises, quel que soit leur niveau de correctif, et à effectuer des investigations approfondies sur le réseau à l’aide des indicateurs de compromission publiés.