bencede
New member
Barracuda’nın ESG’sinde sıfır günlük boşluk: liderlik Çin’e gidiyor
Mandiant BT güvenlik araştırmacıları, Barracuda’nın “E-posta Güvenlik Ağ Geçitlerine” (ESG’ler) yönelik saldırıların arkasında Çinli siber casusların olduğunu buldu. Saldırganlar bir güvenlik açığından yararlandı. Kapatıldığında, siber suçlular kötü amaçlı yazılımlarını hemen değiştirdiler ve sistemlere erişmeye devam etmek için daha fazla önlem aldılar.
Mayıs ayı sonlarında Barracuda’nın “Email Security Gateway”deki sıfır gün güvenlik açığı keşfedildikten sonra, Barracuda’nın ESG’sindeki açığın 7 aydır kullanıldığı ortaya çıktı. Saldırganlar, kalıcı bir arka kapı görevi gören özel e-posta ekleri aracılığıyla sistemlere kötü amaçlı yazılım yükledi. Örneğin, Saltwater ile herhangi bir dosyayı yükleyebilir veya indirebilir, komutları çalıştırabilir ve proxy ve tünel işlevleri sağlayabilirsiniz. Tersine, “Seaspy” ve “Seaside” meşru Barracuda hizmetleri gibi görünür, ancak trafik izleme için arka kapılardır.
Barracuda’dan serbest ticaret
Hatta geçen hafta yapımcı, saldırıya uğrayan Barracuda ESG’nin derhal değiştirilmesi için yöneticilere başvurdu. Otomatik olarak dağıtılan güvenlik güncellemesi açıkça amaçlandığı gibi çalışmıyor ve üretici, etkilenen cihazların acilen değiştirilmesini öneriyor. Barracuda, risk altındaki tüm müşterilere ücretsiz olarak yeni cihazlar sağlamayı vaat ettiğinden, değiştirme işlemi maliyet gerekçesiyle reddedilmemelidir. Üretici ayrıca kötü amaçlı yazılım yayılımı için ağlarınızı kontrol etmenizi önerir.
Güvenlik açığını bulduktan sonra Barracuda, kapsamlı bir araştırma için Mandiant BT güvenlik araştırmacılarını aradı. Mandiant, sınıflandırma eksikliği nedeniyle yalnızca UNC4841’i arayan Çinli saldırganları belirledi. Google’a ait Mandiant ekibi, bunların Halk Cumhuriyeti’nin çıkarları doğrultusunda hareket eden saldırgan ve yetenekli casuslar olma ihtimalinin yüksek olduğunu açıklıyor.
Tehlikeli ekleri olan spam
İlk olarak, siber suçlular, saldırganların hedef aldığı belirli kuruluşlara e-postalar gönderdi. Ancak e-postalar sistem tarafından spam olarak algılanıp doğrudan çöp kutusuna gönderilecek şekilde tasarlanmıştır. Bu, tespit ve soruşturmadan kaçınmak içindir. Ancak e-posta, sistemlere erişim elde etmek için CVE-2023-2868 olarak bilinen güvenlik açığından yararlanan bir ek içeriyordu.
ayrıca oku
Daha fazla göster
daha az göster
Erişim sağlandıktan sonra, ESG cihazları, ağa daha fazla yayılmak için diğer cihazlara e-posta göndermek için kötüye kullanıldı. Amaç, örneğin üst düzey devlet kurumlarından veya özellikle Tayvan ve Hong Kong’daki akademik araştırma kuruluşlarından ve ayrıca Güneydoğu Asya’daki Amerika ve Avrupa şubelerinden belirli verileri toplamaktı.
Casuslar tarafından hedef alınan devlet kurumları
Mandiant, “Ayrıca aktörler, Çin Halk Cumhuriyeti’nde siyasi veya stratejik çıkarları olan bir hükümet için çalışan ve bu hükümet aynı zamanda diğer ülkelerle üst düzey diplomatik toplantılara katılan kişilerin e-posta hesaplarını aradı” dedi.
Önerilen editoryal içerik
İzninizle, harici bir anket (Opinary GmbH) buraya yüklenecektir.
Her zaman anketleri yükleyin
Anketi şimdi yükleyin
Saldırıya uğrayan kuruluşların yarısından biraz fazlası Amerika’da yer alırken, Asya ve Avrupa sırasıyla yüzde 22 ve 24’tür, bu muhtemelen Barracuda sistemlerinin yaygınlığından kaynaklanmaktadır. Saldırıya uğrayan kuruluşların yaklaşık üçte birinin devlet kurumları olduğu düşünüldüğünde Mandiant, saldırganların casusluk amaçlı siber suçlular olduğunun onayını alır.
(fs)
Haberin Sonu