Компания Barracuda показала, что китайские злоумышленники использовали новый нулевой день в своих устройствах Email Security Gateway (ESG) для развертывания бэкдора на "ограниченном количестве" устройств.
Проблема, отслеживаемая как CVE-2023-7102, связана со случаем выполнения произвольного кода, который находится в электронной таблице библиотеки сторонних производителей с открытым исходным кодом: ParseExcel, используемой сканером Amavis в шлюзе.
Компания приписала эту активность субъекту угрозы, отслеживаемому принадлежащим Google Mandiant как UNC4841, который ранее был связан с активным использованием другого режима нулевого дня в устройствах Barracuda (CVE-2023-2868, оценка CVSS: 9,8) ранее в этом году.
Успешное использование нового недостатка достигается с помощью специально созданного вложения электронной почты Microsoft Excel. За этим последовало внедрение новых вариантов известных имплантатов под названием SEASPY и SALTWATER, которые обеспечивают постоянство и возможности выполнения команд.
Barracuda заявила, что выпустила обновление для системы безопасности, которое было "автоматически применено" 21 декабря 2023 года, и что никаких дальнейших действий от клиентов не требуется.
Далее компания указала, что днем позже "внедрила исправление для исправления скомпрометированных устройств ESG, которые демонстрировали признаки компрометации, связанные с недавно выявленными вариантами вредоносного ПО". Масштаб компрометации не раскрывается.
Тем не менее, первоначальный недостаток в модуле Perl Spreadsheet: ParseExcel (версия 0.65) остается не исправленным и ему присвоен идентификатор CVE CVE-2023-7101, что требует от нижестоящих пользователей принятия соответствующих мер по исправлению.
По данным Mandiant, которая расследовала кампанию, с октября 2022 года, по оценкам, были затронуты ряд организаций частного и государственного секторов, расположенных по меньшей мере в 16 странах.
Последняя разработка еще раз подтверждает адаптивность UNC4841, используя новые тактики и приемы для сохранения доступа к высокоприоритетным целям по мере закрытия существующих лазеек.
Проблема, отслеживаемая как CVE-2023-7102, связана со случаем выполнения произвольного кода, который находится в электронной таблице библиотеки сторонних производителей с открытым исходным кодом: ParseExcel, используемой сканером Amavis в шлюзе.
Компания приписала эту активность субъекту угрозы, отслеживаемому принадлежащим Google Mandiant как UNC4841, который ранее был связан с активным использованием другого режима нулевого дня в устройствах Barracuda (CVE-2023-2868, оценка CVSS: 9,8) ранее в этом году.
Успешное использование нового недостатка достигается с помощью специально созданного вложения электронной почты Microsoft Excel. За этим последовало внедрение новых вариантов известных имплантатов под названием SEASPY и SALTWATER, которые обеспечивают постоянство и возможности выполнения команд.
Barracuda заявила, что выпустила обновление для системы безопасности, которое было "автоматически применено" 21 декабря 2023 года, и что никаких дальнейших действий от клиентов не требуется.
Далее компания указала, что днем позже "внедрила исправление для исправления скомпрометированных устройств ESG, которые демонстрировали признаки компрометации, связанные с недавно выявленными вариантами вредоносного ПО". Масштаб компрометации не раскрывается.
Тем не менее, первоначальный недостаток в модуле Perl Spreadsheet: ParseExcel (версия 0.65) остается не исправленным и ему присвоен идентификатор CVE CVE-2023-7101, что требует от нижестоящих пользователей принятия соответствующих мер по исправлению.
По данным Mandiant, которая расследовала кампанию, с октября 2022 года, по оценкам, были затронуты ряд организаций частного и государственного секторов, расположенных по меньшей мере в 16 странах.
Последняя разработка еще раз подтверждает адаптивность UNC4841, используя новые тактики и приемы для сохранения доступа к высокоприоритетным целям по мере закрытия существующих лазеек.
