Un acteur malveillant lié à la Chine a déployé des portes dérobées pour entraver les efforts de remédiation lors d’une campagne d’exploitation d’une vulnérabilité affectant les appliances de sécurité mail de Barracuda Networks. Une campagne démarrée en 2022.
En mai, Barracuda Networks a révélé une vulnérabilité inédite, référencée CVE-2023-2868, affectant sa passerelle de sécurité du courrier électronique (ESG) et ayant été exploitée lors d’attaques contre ses clients à partir d’octobre 2022. Les enquêtes menées en réponse aux incidents par Mandiant, la CISA et le FBI ont par la suite conduit à attribuer la campagne à un acteur malveillant lié au gouvernement chinois, ainsi qu’à déterminer que toutes les appliances ESG affectées devaient être immédiatement remplacées, car les correctifs publiés en mai étaient insuffisants.
Cependant, Mandiant a déterminé que le groupe qu’il suit sous la référence UNC4841 avait anticipé l’appel au remplacement et à d’autres efforts de remédiation. Dans un nouveau billet de blog, les chercheurs de Mandiant ont mis en évidence les portes dérobées que les attaquants ont utilisées pour maintenir leur présence dans les organisations ciblées. Les chercheurs ont nommé les trois familles de code Skipjack, Depthcharge et Foxtrot/Foxglove. Et de relever qu’elles étaient déployées au cas où la campagne serait compromise, ce qui s’est produit lors de la divulgation en mai.
Plus notablement, les portes dérobées faisaient partie d’une « seconde vague d’attaques, non divulguée auparavant » qui a commencé début juin et s’est étendue au-delà des variantes ..
Support the originator by clicking the read the rest link below.
