Ağ ve e-posta güvenlik firması Barracuda, 21 Aralık'ta UNC4841 Çinli bilgisayar korsanları tarafından kullanılan sıfır gün hatasına karşı tüm Aktif E-posta Güvenlik Ağ Geçidi (ESG) cihazlarını uzaktan yamaladığını söyledi.
Şirket, bir gün sonra, saldırganların Seaspy ve Saltwater kötü amaçlı yazılımları konuşlandırdığı ESG cihazlarından bir gün sonra ikinci bir güvenlik güncellemesi dalgası kullandı.
Noel arifesinde açıklanan ve CVE-2023-7102 olarak izlenen sıfır gün, Barracuda ESG cihazlarında çalışan Amavis virüsü tarayıcısı tarafından kullanılan e-tablodaki bir zayıflıktan kaynaklanmaktadır.
Saldırganlar, parametre enjeksiyonu yoluyla eşleştirilmemiş ESG cihazlarında keyfi kod yürütmek üzere kusurdan yararlanabilir.
Şirket ayrıca, hala bir yama bekleyen açık kaynak kütüphanesinde hatayı ayrı ayrı izlemek için CVE-2023-7101 CVE kimliğini açtı.
Barracuda, 24 Aralık'ta yayınlanan bir danışmada, "Şu anda müşteriler tarafından herhangi bir işlem gerekmiyor ve soruşturmamız devam ediyor." Dedi.
"Mantiant ile işbirliği içinde çalışan Barracuda, bu etkinliğin UNC4841 olarak izlenen Çin Nexus aktörünün sürekli operasyonlarına atfedilebileceğini değerlendiriyor.
"Kendi ürün veya hizmetlerinde e-tablo :: parseexcel kullanan kuruluşlar için CVE-2023-7101'i incelemenizi ve derhal gerekli iyileştirme önlemlerini almanızı öneririz."
Mayıs ayında, aynı hacker grubu, siber ihale kampanyasının bir parçası olarak Barracuda ESG cihazlarını hedeflemek için başka bir sıfır günü (CVE-2023-2868) kullandı.
Barracuda, en azından Ekim 2022'den beri en az yedi ay boyunca sıfır günün saldırılarda istismar edildiğini açıkladı, daha önce bilinmeyen kötü amaçlı yazılımları dağıtmak ve verileri tehlikeye atılmış sistemlerden çıkardı.
Ters kabuklar aracılığıyla hacklenen sistemlere uzaktan erişim elde etmek için Seaspy ve Saltwater kötü amaçlı yazılım ve sahil kötü amaçlı yazılımları kullandılar.
Denizaltı (Depthechcharge) ve Whirlpool kötü amaçlı yazılımları, yüksek değerli hedefler ağlarında daha önce az sayıda uzatılmış cihaza devam etmek için daha sonraki aşama yüklerle aynı saldırılara konuşlandırıldı.
Saldırganların motivasyonu casusluktu, UNC4841 hackerlar ihlal edilen ağlardan yüksek profilli hükümete ve yüksek teknoloji kullanıcılarına hedeflenen bir şekilde etkileşime girdi.
Siber güvenlik firması Mantiant'a göre, Mayıs kampanyasında hacklenen cihazların neredeyse üçte biri devlet kurumlarına aitti, bunların çoğu Ekim ve Aralık 2022 arasında.
Barracuda, Mayıs saldırılarından sonra müşterileri, daha önce yamalı olanlar bile, tehlikeye atılan tüm cihazların yerini almaları gerektiği konusunda uyardı (tüm cihazların yaklaşık% 5'i saldırılarda ihlal edildi).
Barracuda, dünya çapında 200.000'den fazla kuruluşun ürünlerini Samsung, Kraft Heinz, Mitsubishi ve Delta Havayolları gibi en iyi şirketler de dahil olmak üzere kullandığını söylüyor.
iPhone Üçgenleme Saldırısı Kötü Belgesiz Donanım Özelliği
Google, bu yıl saldırılarda 8. krom sıfır gün sömürülüyor
Sahte F5 Big-IP Zero Gün Uyarı E-postaları Veri Silinicileri İttirin
Google Chrome Acil Durum Güncellemesi, 2023'te 7. Zero Day'i Düzeltiyor
Gizli KV-Botnet Kaçakları Soho Yönlendiricileri ve VPN Cihazları
Kaynak: Bleeping Computer