Un acteur étatique chinois à l’origine des attaques contre les ESG de Barracuda

Mandiant a attribué l’exploitation récente d’une vulnérabilité inédite, dite 0-day, dans les appliances Barracuda Email Security Gateway (ESG) à un acteur de l’espionnage soutenant le gouvernement chinois.

Dans un billet de blog, Mandiant a fourni des informations supplémentaires sur une enquête en cours concernant l’exploitation de la vulnérabilité référencée CVE-2023-2868, dans les appliances Barracuda ESG, qui a été divulguée le mois dernier. Sur la base de plusieurs recoupements d’infrastructures et de codes de logiciels malveillants, Mandiant estime avec un niveau de confiance élevé que l’acteur étatique chinois qu’il référence « UNC4841 » est à l’origine de ce qu’il qualifie d’attaques de cyberespionnage.

Alors que Mandiant a confirmé que l’exploitation de la CVE-2023-2868 a commencé dès le mois d’octobre dernier, l’enquête a déterminé que l’acteur malveillant UNC4841 a été le plus actif entre les 22 et 24 mai et a ciblé « un certain nombre de victimes situées dans au moins 16 pays différents ». 

Le rapport de Mandiant explique également pourquoi les deux correctifs publiés par Barracuda le mois dernier étaient insuffisants, ce qui a obligé le fournisseur à conseiller à ses clients de remplacer les appliances ESG compromises. 

Un premier correctif était disponible le 20 mai, suivi d’un autre le 21 mai, mais l’acteur de la menace a rapidement réagi en apportant des modifications à son logiciel malveillant personnalisé. Entre le 21 et le 23 mai, « UNC4841 a rapidement apporté des modifications aux composants liés à SEASPY et SALTWATER afin d’empêcher l’application d’un correctif efficace ». 

Seaspy et Saltwater sont deux des trois familles de codes malveillants que Mandiant a observées lors des attaques. La troisième famille est appelée Seaside. 

L’un des moyens utilisés par UNC4841 pour assurer sa persistance était d’exécuter Seaspy en insérant une commande dans le script Perl update_version exécuté par l’appliance. 

UNC4841 a également eu recours aux shells inversés établis en utilisant des noms de domaines plutôt que des adresses IP. Ces shells inversés ont été mis à profit par le biais de tâches cron horaires et quotidiennes, sur les appareils compromis. 

Mandiant a également observé UNC4841 déployer un rootkit de noyau qu’il a baptisé « Sandbar » et qui est exécuté lors du démarrage des appareils.

Mandiant a fourni une chronologie détaillée des attaques de Barracuda ESG qui montre qu’UNC4841 a commencé une campagne d’hameçonnage contre les organisations victimes dès le 10 octobre. Ces courriels contenaient des signes évidents de pourriel, tels que l’utilisation d’une mauvaise grammaire, un signal d’alarme mis en avant dans les programmes de sensibilisation à la sécurité. 

Mandiant estime toutefois que cette tactique était délibérée et que UNC4841 a probablement rédigé le corps et l’objet du message de manière à ce qu’il apparaisse comme du spam générique afin d’être repéré par les filtres antispam ou de dissuader les analystes de la sécurité de mener une enquête approfondie. 

Mandiant indique avoir déjà « observé le recours à cette tactique par des groupes avancés exploitant des vulnérabilités inédites dans le passé », peut-on lire sur le blog.

Selon la chronologie de Mandiant, la première tentative réussie d’exfiltration d’emails a eu lieu le 10 décembre, mais il a fallu attendre des mois avant que Barracuda n’en prenne connaissance.

Après la compromission initiale, Mandiant et Barracuda ont observé deux facteurs notables : les assaillants ont agressivement ciblé les données intéressantes à exfiltrer ; ils ont déployé des outils supplémentaires pour maintenir la persistance, tels que les logiciels malveillants contenant des portes dérobées connues sous les noms de Seaspy, Seaside et Saltwater.

Le premier signe de l’UNC4841 effectuant un mouvement latéral au sein des organisations a eu lieu le 16 mai, et Barracuda a identifié pour la première fois une activité malveillante sur les appareils ESG deux jours plus tard. 

Bien que la vulnérabilité inédite ait été exploitée des mois avant sa découverte et la distribution des correctifs, seuls 5 % des appliances ESG actives dans le monde ont été affectées à la date du 10 juin, selon Barracuda.