El actor de amenazas estatal chino rastreado como UNC4841 que el año pasado atacó a los usuarios de los dispositivos Email Security Gateway (ESG) de Barracuda Networks a través de una vulnerabilidad de ejecución remota de código (RCE) ha vuelto a la acción, explotando un día cero recientemente divulgado para apuntar a alto nivel. Perfil de los clientes de Barracuda. Barracuda reveló oficialmente la vulnerabilidad en Nochebuena, tres días después de haber implementado una actualización en todos los dispositivos ESG activos, pero no antes de que UNC4841 la explotara para entregar nuevas variantes de sus malwares Seaspy y Saltwater a un «número limitado» de dispositivos. La vulnerabilidad en cuestión, CVE-2023-7102, es una falla de ejecución de código arbitrario (ACE) en la biblioteca de código abierto Spreadsheet::ParseExcel, un módulo Perl que a su vez es utilizado por el escáner de virus Amavis de código abierto, que se ejecuta en ESG. accesorios. En declaraciones al título hermano de Computer Weekly, TechTarget Security, el 28 de diciembre de 2023, Austin Larsen, consultor senior de respuesta a incidentes de Mandiant, quien ha trabajado extensamente con Barracuda desde las divulgaciones de mayo de 2023, dijo: “Mandiant cree que esta campaña se inició aproximadamente el 30 de noviembre de 2023 como parte de las operaciones de espionaje en curso de UNC4841. «Barracuda respondió rápidamente implementando actualizaciones para remediar la vulnerabilidad y los dispositivos ESG que pueden haber sido comprometidos por las variantes de malware recientemente identificadas», dijo. Según Mandiant, la vulnerabilidad se puede explotar fácilmente si el objetivo recibe un correo electrónico con un archivo adjunto de Excel especialmente diseñado. Cuando el dispositivo Barracuda ESG escanea este correo electrónico entrante, el código se ejecuta sin ninguna intervención por parte del usuario, lo que lo hace particularmente peligroso. Barracuda dijo que dado que la actualización se implementó automáticamente, sus clientes no necesitan tomar ninguna medida adicional. Segunda designación Sin embargo, la historia no termina ahí. Dado que otros utilizan el módulo Perl vulnerable en un contexto más amplio, a la falla ACE también se le ha asignado una segunda designación, CVE-2023-7101. «Este módulo Perl se utiliza para analizar archivos Excel», dijo Mike Walters, presidente y cofundador de Action1, especialista en gestión de parches. “La vulnerabilidad en Spreadsheet::ParseExcel se debe al paso de datos de entrada no verificados de un archivo a la función “eval” con un tipo de cadena. «Específicamente, el problema está relacionado con la evaluación de cadenas de formato numérico en la lógica de análisis de Excel», dijo. “Se insta a las organizaciones que utilizan Spreadsheet::ParseExcel en sus soluciones a investigar CVE-2023-7101 y tomar las medidas correctivas necesarias de inmediato. En cuanto a la nueva campaña de este conocido actor, los expertos creen que la APT todavía posee más días cero, que se utilizarán con cautela en ataques contra objetivos grandes”. El interés de la campaña plurianual UNC4841 en los productos de Barracuda Networks se remonta a más de un año en este momento, con su actividad inicial en torno a CVE-2023-2868 a partir de octubre de 2022, con un aumento inicial en el número de víctimas a principios de noviembre. Se han sucedido oleadas de actividad posteriores desde la divulgación de mayo de 2023, alcanzando su mayor intensidad en junio. El grupo se describe como una operación «con buenos recursos» con una variedad de familias de malware diseñadas para ser implementadas selectivamente en objetivos de alta prioridad en todo el mundo, la mayoría de ellos en EE.UU. y Canadá, aunque también se han registrado un gran número de intrusiones. visto en Bélgica, Alemania, Japón, Malasia, Polonia, Taiwán y Vietnam. En el Reino Unido se encontró un número menor de víctimas. Las verticales de interés para el grupo incluyen organismos gubernamentales y del sector público, operaciones de alta tecnología y TI, empresas de telecomunicaciones, instituciones manufactureras y educativas, todos objetivos que generalmente se consideran de alto valor para el estado chino. Larsen dijo que UNC4841 ha demostrado ser muy receptivo a los esfuerzos defensivos y modifica activamente sus tácticas, técnicas y procedimientos (TTP) después del compromiso para mantener el acceso a los entornos de las víctimas. Teniendo esto en cuenta, se recomienda encarecidamente que, aunque hayan sido parcheados durante casi quince días, todos los clientes de Barracuda continúen monitoreando la presencia de UNC4841 en sus redes, ya que es probable que el grupo esté alterando y modificando sus TTP incluso ahora, y es probable que continúe para buscar nuevas fallas en los dispositivos de vanguardia en el futuro.

Source link