تم تتبع جهة تهديد الدولة الصينية باسم UNC4841 في العام الماضي مهاجمة مستخدمي شبكات باراكودا أجهزة بوابة أمان البريد الإلكتروني (ESG). من خلال ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد (RCE). لقد عادت إلى العمل من خلال استغلال يوم الصفر الذي تم الكشف عنه حديثًا لاستهداف عملاء Barracuda البارزين.
باراكودا رسميا تم الكشف عن الثغرة الأمنية عشية عيد الميلاد، بعد ثلاثة أيام من نشر تحديث لجميع أجهزة ESG النشطة، ولكن ليس قبل أن يستغلها UNC4841 لتقديم متغيرات جديدة من برمجيات Seaspy وSaltwater الضارة إلى “عدد محدود” من الأجهزة.
الثغرة الأمنية المعنية، CVE-2023-7102، هي عيب في تنفيذ التعليمات البرمجية التعسفية (ACE) في مكتبة Spreadsheet::ParseExcel مفتوحة المصدر، وهي وحدة Perl يتم استخدامها بدورها بواسطة المصدر المفتوح أمافيس ماسح الفيروسات، الذي يعمل على أجهزة ESG.
التحدث إلى موقع Computer Weekly الشقيق TechTarget Security في 28 ديسمبر 2023، كبير مستشاري الاستجابة للحوادث في مانديانت أوستن لارسن، الذي عمل على نطاق واسع مع باراكودا منذ إفصاحات مايو 2023قال: “يعتقد مانديانت أن هذه الحملة بدأت في 30 نوفمبر 2023 تقريبًا كجزء من عمليات التجسس المستمرة لـ UNC4841.
وقال: “استجابت باراكودا على الفور من خلال نشر التحديثات لمعالجة الثغرة الأمنية وأجهزة ESG التي ربما تكون قد تعرضت للاختراق بسبب متغيرات البرامج الضارة التي تم تحديدها حديثًا”.
وفقًا لمانديانت، يمكن استغلال الثغرة الأمنية بسهولة إذا تلقى الهدف بريدًا إلكترونيًا يحتوي على مرفق Excel معد خصيصًا. عندما يقوم جهاز Barracuda ESG بمسح هذه الرسالة الإلكترونية الواردة، يتم تنفيذ التعليمات البرمجية دون أي إدخال من المستخدم، مما يجعلها خطيرة بشكل خاص.
وقال باراكودا إنه نظرًا لنشر التحديث تلقائيًا، فلن يحتاج عملاؤه إلى اتخاذ أي إجراء آخر.
التسمية الثانية
ومع ذلك، فإن القصة لا تنتهي عند هذا الحد. وبالنظر إلى أن وحدة Perl الضعيفة يتم استخدامها من قبل الآخرين في سياق أوسع، فقد تم أيضًا تعيين خطأ ACE بتسمية ثانية، وهي CVE-2023-7101.
قال مايك والترز، الرئيس والمؤسس المشارك لشركة Perl: “يتم استخدام وحدة Perl هذه لتحليل ملفات Excel”. الإجراء1، متخصص في إدارة التصحيح. “تحدث الثغرة الأمنية في Spreadsheet::ParseExcel بسبب تمرير بيانات إدخال لم يتم التحقق منها من ملف إلى وظيفة “eval” بنوع سلسلة.
وقال: “على وجه التحديد، تتعلق المشكلة بتقييم سلاسل التنسيق الرقمية في منطق التحليل في برنامج Excel”.
“نحث المؤسسات التي تستخدم Spreadsheet::ParseExcel في حلولها على التحقيق في CVE-2023-7101 واتخاذ خطوات العلاج اللازمة على الفور. وفيما يتعلق بالحملة الجديدة لهذا الممثل المعروف، يعتقد الخبراء أن APT لا تزال تمتلك المزيد من أيام الصفر، والتي سيتم استخدامها بحذر في الهجمات ضد أهداف كبيرة.
حملة متعددة السنوات
يعود اهتمام UNC4841 بمنتجات Barracuda Networks إلى أكثر من عام في هذه المرحلة، حيث بدأ نشاطها الأولي حول CVE-2023-2868 في أكتوبر 2022، مع زيادة أولية في أعداد الضحايا في بداية نوفمبر. وتلا ذلك موجات لاحقة من النشاط منذ الكشف في مايو 2023، ووصلت إلى أعلى مستوياتها في يونيو.
توصف المجموعة بأنها عملية “تتمتع بموارد جيدة” تضم مجموعة متنوعة من عائلات البرامج الضارة المصممة ليتم نشرها بشكل انتقائي على أهداف ذات أولوية عالية حول العالم، وأغلبها في الولايات المتحدة وكندا، على الرغم من حدوث أعداد كبيرة من عمليات الاختراق أيضًا. شوهدت في بلجيكا وألمانيا واليابان وماليزيا وبولندا وتايوان وفيتنام. تم العثور على عدد أقل من الضحايا في المملكة المتحدة.
وتشمل القطاعات التي تهم المجموعة الهيئات الحكومية والقطاع العام، وعمليات التكنولوجيا الفائقة وتكنولوجيا المعلومات، وشركات الاتصالات، والمؤسسات الصناعية والتعليمية، وجميع الأهداف التي تعتبر بشكل عام ذات قيمة عالية للدولة الصينية.
وقال لارسن إن UNC4841 أظهر نفسه على أنه سريع الاستجابة للجهود الدفاعية، ويقوم بتعديل تكتيكاته وتقنياته وإجراءاته (TTPs) بشكل نشط بعد التسوية للحفاظ على الوصول إلى بيئات الضحايا.
بالنظر إلى ذلك، يوصى بشدة أنه على الرغم من تصحيحها لمدة أسبوعين تقريبًا، يجب على جميع عملاء Barracuda الاستمرار في مراقبة وجود UNC4841 في شبكاتهم، حيث من المحتمل أن تقوم المجموعة بتغيير وتعديل TTPs الخاصة بها حتى الآن، ومن المرجح أن تستمر للبحث عن عيوب جديدة في الأجهزة المتطورة من الآن فصاعدا.
