- 13,858
- 20
- 8 Ноя 2022
Как китайская группировка проникла в почтовые шлюзы Barracuda и взломала десятки организаций.
Компания Mandiant Для просмотра ссылки Войдиили Зарегистрируйся , что китайские хакеры из группировки UNC4841 активно эксплуатировали zero-day уязвимость Для просмотра ссылки Войди или Зарегистрируйся в продуктах Email Security Gateway ( ESG ) компании Barracuda . Атаки продолжались долгое время и были направлены преимущественно против правительственных организаций США, Канады и ряда других стран.
Уязвимость CVE-2023-2868 позволяет удалённо выполнить код на устройстве жертвы. О существовании бреши стало известно лишь в мае этого года, когда как реальные атаки с использованием этой уязвимости датируются и вовсе Для просмотра ссылки Войдиили Зарегистрируйся .
Компания Barracuda выпустила исправляющий патч 20 мая, однако впоследствии выяснилось, что он абсолютно неэффективен. В связи с этим компанию недавно даже Для просмотра ссылки Войдиили Зарегистрируйся представители ФБР.
В конечном итоге Barracuda пришла к тому, что для надёжной защиты клиентских сетей уже не помогут никакие программные патчи, и клиентам необходимо Для просмотра ссылки Войдиили Зарегистрируйся .
Эксперты Mandiant провели углубленное расследование деятельности хакеров UNC4841 и выявили две волны атак. Первая началась ещё в ноябре 2022 года, а вторая — в мае-июне 2023 года, уже после выхода неэффективного патча. Во второй волне злоумышленники использовали новые вредоносные программы Skipjack, Depthcharge и Foxtrot для сохранения доступа к наиболее ценным целям.
По словам экспертов, группировка UNC4841 действует в интересах китайских спецслужб и отличается высоким профессионализмом. Более 15% жертв — национальные правительственные организации, 10% — местные органы власти.
Также атакам подверглись компании в сфере высоких технологий, телекоммуникаций, образования. В целом, это согласуется с разведывательными интересами Китая.
Эксперты Mandiant не смогли связать UNC4841 ни с одной известной китайской хакерской группировкой, хотя и обнаружили некоторые пересечения в инфраструктуре с другой группой — UNC2286. Но это может просто указывать на взаимодействие между различными китайскими группировками.
Таким образом, продолжительный киберинцидент продемонстрировал высокий уровень подготовки и настойчивости китайских хакеров. Несмотря на попытки противодействия, им удалось сохранить доступ к ценным системам и продолжить свою шпионскую деятельность.
Эксперты Mandiant считают, что хакеры UNC4841 продолжат свою вредоносную операцию в будущем, но уже с использованием обновлённых инструментов и методов. Пострадавшие организации должны провести тщательные расследования безопасности своих сетей и хорошо подготовиться к следующей возможной волне атак.
Компания Mandiant Для просмотра ссылки Войди
Уязвимость CVE-2023-2868 позволяет удалённо выполнить код на устройстве жертвы. О существовании бреши стало известно лишь в мае этого года, когда как реальные атаки с использованием этой уязвимости датируются и вовсе Для просмотра ссылки Войди
Компания Barracuda выпустила исправляющий патч 20 мая, однако впоследствии выяснилось, что он абсолютно неэффективен. В связи с этим компанию недавно даже Для просмотра ссылки Войди
В конечном итоге Barracuda пришла к тому, что для надёжной защиты клиентских сетей уже не помогут никакие программные патчи, и клиентам необходимо Для просмотра ссылки Войди
Эксперты Mandiant провели углубленное расследование деятельности хакеров UNC4841 и выявили две волны атак. Первая началась ещё в ноябре 2022 года, а вторая — в мае-июне 2023 года, уже после выхода неэффективного патча. Во второй волне злоумышленники использовали новые вредоносные программы Skipjack, Depthcharge и Foxtrot для сохранения доступа к наиболее ценным целям.
По словам экспертов, группировка UNC4841 действует в интересах китайских спецслужб и отличается высоким профессионализмом. Более 15% жертв — национальные правительственные организации, 10% — местные органы власти.
Также атакам подверглись компании в сфере высоких технологий, телекоммуникаций, образования. В целом, это согласуется с разведывательными интересами Китая.
Эксперты Mandiant не смогли связать UNC4841 ни с одной известной китайской хакерской группировкой, хотя и обнаружили некоторые пересечения в инфраструктуре с другой группой — UNC2286. Но это может просто указывать на взаимодействие между различными китайскими группировками.
Таким образом, продолжительный киберинцидент продемонстрировал высокий уровень подготовки и настойчивости китайских хакеров. Несмотря на попытки противодействия, им удалось сохранить доступ к ценным системам и продолжить свою шпионскую деятельность.
Эксперты Mandiant считают, что хакеры UNC4841 продолжат свою вредоносную операцию в будущем, но уже с использованием обновлённых инструментов и методов. Пострадавшие организации должны провести тщательные расследования безопасности своих сетей и хорошо подготовиться к следующей возможной волне атак.
- Источник новости
- www.securitylab.ru
