Sommario
Gli hacker, sospettati di avere legami con la Cina, hanno mirato e compromesso organizzazioni governative e collegate al governo in tutto il mondo, sfruttando una vulnerabilità zero-day nel Barracuda Email Security Gateway (ESG). Questi attacchi si sono concentrati in particolare sulle entità nelle Americhe.
Un attacco mirato alle agenzie governative
Quasi un terzo delle apparecchiature compromesse in questa campagna apparteneva ad agenzie governative, principalmente tra ottobre e dicembre 2022, come riportato da un rapporto di Mandiant pubblicato oggi. Numerosi uffici governativi a livello di stato, provincia, contea, tribù, città e paese sono stati presi di mira in questa campagna, in particolare in Nord America.
Motivazioni e modalità dell’attacco
L’obiettivo degli attacchi era l’espionaggio. L’attore minaccioso, identificato come UNC4841, ha effettuato esfiltrazioni mirate da sistemi appartenenti a utenti di alto profilo in settori governativi e tecnologici. Barracuda ha avvertito i clienti della vulnerabilità il 20 maggio, patchando tutti i dispositivi vulnerabili. Dieci giorni dopo, la società ha rivelato che il bug zero-day era stato sfruttato per almeno sette mesi, dallo scorso ottobre, per diffondere malware sconosciuto e rubare dati dai sistemi compromessi.
Malware e strumenti utilizzati
Gli aggressori hanno utilizzato malware precedentemente sconosciuti, tra cui SeaSpy e Saltwater, e uno strumento malevolo, SeaSide, per ottenere accesso remoto ai sistemi compromessi attraverso shell inverse. CISA ha condiviso dettagli su altri malware, Submarine e Whirlpool, utilizzati negli stessi attacchi come payload in fasi successive per mantenere la persistenza.
Risposta e raccomandazioni dell’FBI
Nonostante Mandiant e Barracuda non abbiano ancora trovato prove di nuovi dispositivi ESG compromessi dopo le patch, l’FBI ha avvertito la scorsa settimana che le patch sono “inefficaci” e che i dispositivi patchati continuano ad essere compromessi in attacchi in corso. L’FBI ha anche rafforzato l’avviso di Barracuda ai clienti di isolare e sostituire immediatamente le apparecchiature compromesse.
