Mandiant et Barracuda Networks de Google Cloud ont confirmé qu’une vulnérabilité Zero Day dans les appliances ESG (Email Security Gateway) de Barracuda était présente. fortement exploité par des pirates informatiques présumés de l’État chinois – identifié comme UNC4841 – dans le cadre d’une campagne de plusieurs mois ciblant les organismes gouvernementaux, principalement aux États-Unis et au Canada, bien qu’un certain nombre de victimes britanniques aient été observées.
L’existence de CVE-2023-2868 a été divulgué pour la première fois en mai 2023bien qu’il soit exploité depuis fin 2022. Un correctif pour CVE-2023-2868 a été publié le 20 mai, puis a été publié plus tard. jugé inefficacece qui a incité Barracuda à conseiller aux organisations concernées de jeter les appareils vulnérables et de chercher un remplacement.
Cependant, Barracuda et Mandiant affirment qu’en dépit de la confusion, ils n’ont observé depuis lors aucune réexploitation du CVE-2023-2868 sur aucun des appareils concernés, bien que le FBI ait émis la semaine dernière une alerte flash avertissant que de nombreux appareils étaient toujours menacés – un fait qui est maintenant également confirmé dans un nouvel article de Mandiant résumant les éléments de l’enquête.
Dans son article, Mandiant a révélé plus d’informations sur la campagne hautement ciblée, démontrant comment la campagne sophistiquée et hautement adaptative de l’UNC4841 a pu perturber les efforts d’atténuation, et comment de nouveaux malwares ont aidé les espions de Pékin à maintenir l’accès à un petit sous-ensemble de cibles de grande valeur. malgré le déploiement du patch.
« Il est devenu clair que nous sommes confrontés à un adversaire redoutable qui dispose de ressources, de financements et de capacités techniques considérables pour mener à bien des campagnes d’espionnage mondiales à grande échelle. Les acteurs de l’espionnage en lien avec la Chine améliorent leurs opérations pour devenir plus furtifs, plus efficaces et plus percutants », a déclaré Austin Larsen, consultant principal en réponse aux incidents de Mandiant.
Depuis mai, Mandiant est à la poursuite de l’UNC4841 et a compilé une chronologie exhaustive de l’activité de l’acteur menaçant au cours de la campagne, depuis la poussée initiale d’activité en novembre 2022 jusqu’à une poussée en mai 2023 lorsque le correctif a été publié, et puis une autre vague, jusqu’alors non divulguée, en juin 2023.
Lors de la deuxième vague, Mandiant a déclaré avoir découvert UNC4841 tentant de maintenir son accès aux environnements compromis qu’il jugeait les plus précieux grâce à trois malwares nouvellement identifiés baptisés Skipjack, Depthcharge, Foxtrot et Foxglove. Les trois premiers sont tous des portes dérobées, tandis que Foxglove agit comme un lanceur pour Foxtrot.
Un peu plus de 15 % des victimes observées étaient des organismes gouvernementaux nationaux, et un peu plus de 10 % étaient des organismes gouvernementaux locaux, a déclaré Mandiant. La campagne a également largement ciblé les entreprises de haute technologie et d’informatique, ainsi que les organisations opérant dans les secteurs des télécommunications, de l’industrie manufacturière, de l’enseignement supérieur et de l’aérospatiale et de la défense – tous des secteurs verticaux pour lesquels l’État chinois a manifesté son intérêt. Les victimes sur les systèmes desquelles les logiciels malveillants de porte dérobée ont été détectés étaient largement orientées vers les organisations gouvernementales, de haute technologie et informatiques.
Mandiant s’est dit convaincu que l’UNC4841 menait des opérations d’espionnage pour le compte de l’État chinois. Il a ajouté qu’il n’a pas été possible de relier la campagne à un autre acteur menaçant connu auparavant, bien qu’il existe certains chevauchements d’infrastructures avec un autre groupe connu sous le nom d’UNC2286 ; et une autre campagne ciblant les appliances Fortinet semble se dérouler de la même manière avec des malwares similaires. Cela n’indique pas nécessairement une connexion ferme ; Les infrastructures et techniques partagées sont communes à tous les acteurs de la menace liée à la Chine.
“Au cours de l’enquête, l’UNC4841 s’est révélé très réactif aux efforts défensifs et a activement modifié les TTP pour maintenir l’accès aux environnements des victimes afin de poursuivre leurs opérations d’espionnage”, ont écrit Larsen et les co-auteurs du rapport, John Palmisano, John Wolfram. , Mathew Potaczek et Michael Raggi.
« Mandiant recommande fortement aux clients Barracuda concernés de continuer à rechercher l’activité UNC4841 au sein des réseaux impactés par un ESG compromis. En raison de leur sophistication démontrée et de leur désir avéré de maintenir l’accès, Mandiant s’attend à ce que l’UNC4841 continue de modifier ses TTP et de modifier sa boîte à outils à mesure que les défenseurs du réseau continuent de prendre des mesures contre cet adversaire, et que leur activité est davantage exposée par la communauté de la sécurité. Mandiant prévoit que l’UNC4841 continuera à être à la pointe des appareils à l’avenir », ont-ils déclaré.
:quality(85):upscale()/2024/06/16/406/n/1922729/6f1540fb666ea61b81a8b7.56508862_.jpg)
