En kinesisk cyberspionagegrupp hackade Barracuda Email Security Gateway (ESG) genom en nolldagssårbarhet fram till i maj. Gruppen har nu skyndat sig att distribuera nya malware-implantat på offrens enheter efter att attacken upptäckts och saneringsarbetet påbörjats. Gruppen spåras som UNC4841, och baserat på dess målval och spionagefokus misstänks den tjäna den kinesiska regeringens intressen.
”UNC4841 har fortsatt att visa sofistikering och anpassningsförmåga som svar på avhjälpande insatser”, säger forskare från Google-ägda incidentresponsföretaget Mandiant i en ny rapport.
”UNC4841:s utplacering av utvalda bakdörrar tyder på att denna hotaktör förutsåg och förberedde sig för saneringsinsatser genom att skapa verktyg i förväg för att förbli inbäddad i mål med högt värde, om kampanjen skulle äventyras.”
En åtta månader lång cyberspionagekampanj
UNC4841 började kompromettera Barracuda ESG-enheter globalt i november 2022 genom en okänd – vid den tiden – sårbarhet för fjärrkommandoinjektion som nu spåras som CVE-2023-2868. Bristen identifierades den 19 maj och patchades den 30 maj, men attacken var så sofistikerad att Barracuda Networks, Mandiant och FBI rekommenderade berörda kunder att byta ut sina enheter.
Felet fanns i ESG-koden som inspekterade bilagor i TAR-arkivformatet, så angripare skickade speciellt utformade e-postmeddelanden till utvalda organisationer som använde sårbara enheter med vetskap om att mejlen skulle skannas och exploateringen skulle köras. Det uppskattas att 5 procent av Barracudas ESG-apparater utsattes, vilket innebär många organisationer i många länder. En tredjedel av offren var lokala och nationella myndigheter – många från länder eller regioner där Kina har geopolitiska intressen – vilket stöder uppfattningen att det huvudsakliga målet var spionage.
Gruppen använde sin åtkomst för att distribuera en mängd olika bakdörrar och verktyg, varav vissa innebar trojanisering av legitima Lua-moduler som redan fanns på Barracuda ESG-enheter. Några av dessa implantat kallades Saltwater, Seaspy, Seaside och Whirlpool av Mandiant i juni.
Tre nya implantat av skadlig kod
Så snart Barracuda offentliggjorde att sårbarheten fanns och organisationer började åtgärda den, började angriparna distribuera ytterligare ett implantat på vissa enheter som tillhörde utvalda offer. Den amerikanska myndigheten CISA (Cybersecurity and Infrastructure Security Agency) varnade för detta implantat som de kallade Submarine i juli.
”Submarine är en ny persistent bakdörr som lever i en SQL-databas (Structured Query Language) på ESG-apparaten”, skrev CISA då i sitt råd. ”Submarine består av flera artefakter som, i en flerstegsprocess, möjliggör körning med root-behörighet, persistens, kommando- och kontrollfunktioner samt rensning.”
Mandiant kallar detta implantat för Depthcharge och publicerade mer information om hur det fungerar i sin nya rapport den här veckan. Den skadliga programvaran levereras som ett Linux shared object library och laddas in i Barracuda SMTP (BSMTP) daemon med hjälp av LD_PRELOAD.
Den skadliga programvaran distribueras via en skadlig trigger som infogas i MySQL-databasen som innehåller konfigurationsinformationen för Barracuda ESG-enheten. Denna trigger aktiveras varje gång en rad tas bort från konfigurationsdatabasen, vilket enligt Mandiants analys sker ofta under normal drift, samt när en säkerhetskopia av konfigurationen återställs. Med andra ord är detta en uthållighetsmekanism som också gör det möjligt för angripare att infektera en ny enhet om konfigurationen från den gamla importeras till den och appliceras.
Triggern skriver ett installationsskript till en plats på disken från krypterad kod som lagras i själva triggern. Den kan dock inte exekvera nyttolasten. För att uppnå exekvering använde angriparna en ny teknik som innebär att man använder ett filnamn som skulle få annan Barracuda-kod att exekvera det på grund av en två-argumentform av Perls open( )-funktion. Detta visar på god kunskap om Barracudas kodbas.
Depthcharge är en bakdörr som kan acceptera inkommande TCP-anslutningar men som också lyssnar efter kommandon som maskerar sig som SMTP-kommandon som börjar med strängen EHLO och är krypterade med AES-256. Enligt Mandiant installerades implantatet på 2,6 procent av de komprometterade enheterna, däribland enheter som tillhörde amerikanska och utländska myndigheter samt högteknologiska och informationstekniska leverantörer.
”Det var vanligt att de drabbade exporterade sin konfiguration från komprometterade enheter så att den kunde återställas till en ren enhet”, varnar Mandiant. ”Om Depthcharge-utlösaren fanns i den exporterade konfigurationen skulle det därför effektivt göra det möjligt för UNC4841 att infektera den rena enheten med Depthcharge-bakdörren genom denna exekveringskedja, och potentiellt behålla åtkomst även efter fullständig ersättning av apparaten.”
Mandiant och Barracuda Networks har identifierat fall där detta kan ha hänt och meddelat de drabbade. Dessutom hämtade angriparna autentiseringsuppgifter från MySQL-konfigurationsdatabasen och använde dem för lateral förflyttning.
Ytterligare ett implantat som incidenthanterare såg UNC4841 distribuera på utvalda offer efter att sårbarheten blev offentlig kallas Skipjack. Detta är en annan passiv bakdörr som lyssnar efter kommandon som skickas via speciellt utformade e-postmeddelanden, särskilt via e-posthuvudfälten Content-ID och X-Barracuda-Spam-Info.
Skipjack distribueras genom att injicera skadlig Lua-kod i en legitim Barracuda ESG-modul som heter mod_content.lua. Implantatet distribuerades på 5,8 procent av de komprometterade enheterna och de utvalda offren inkluderade främst myndigheter och teknikorganisationer, men även mål från militär-, försvars-, flyg- och telekomsektorerna.
Det sista nya implantatet som observerats på vissa offerenheter kallas Foxtrot. Det är en bakdörr skriven i C++ som lyssnar efter TCP-anslutningar och kan fungera som en proxy. Den kan fånga upp tangenttryckningar, utföra shell-kommandon, öppna reverse shells och överföra filer.
Det intressanta är att Foxtrot, till skillnad från Depthcharge och Skipjack, inte verkar vara utformad för Barracuda ESG-apparater utan för vilket Linux-system som helst. Den ingick förmodligen redan i UNC4841:s arsenal och användes i andra operationer. Dess kod har viss överlappning med ett verktyg med öppen källkod som heter Reptile.
Foxtrot distribueras på system via en enkel launcher skriven i C som använder Base64, Mod(13) och XOR med en hårdkodad nyckel för att kryptera exekveringsargument för Foxtrot. Mandiant-forskarna har döpt detta startprogram till Foxglove. Kombinationen Foxglove och Foxtrot var den minst använda av UNC4841 på Barracuda ESG-offer. Den distribuerades främst på enheter hos regeringsrelaterade organisationer som var högprioriterade mål för den kinesiska regeringen.
Rörelse i sidled efter kompromettering
Mandiant Incident responders har också sett UNC4841 försöka röra sig lateralt inuti nätverk för att behålla sin åtkomst om offren ersatte sina komprometterade Barracuda-enheter. Detta omfattade nätverksrekognoseringsaktivitet med verktyg med öppen källkod som fscan och användning av de inhämtade autentiseringsuppgifterna från Barracuda ESG-konfigurationer för att komma åt andra system via Active Directory, SSH, VPN, proxyservrar och Outlook Web Access (OWA).
Angriparna försökte komma åt brevlådor via OWA men utförde inga skadliga åtgärder inuti, vilket återigen visar att deras mål sannolikt var spionage. På vissa komprometterade enheter lade angriparna till nya användare i filen /etc/passwd för att upprätthålla bakdörrsåtkomst via SSH utöver den åtkomst som gavs av implantaten med skadlig kod.
”Organisationer som fick dessa malware-familjer efter sanering viktades mot statliga (nationella), högteknologiska och informationstekniska sektorer”, säger Mandiant. ”Detta kan tyda på att hotaktörerna prioriterar konventionella spionmål och bibehåller åtkomst till it- och managed service-leverantörer.”
Som svar på Mandiants rapport har CISA också utfärdat en uppdaterad lista över indikatorer på intrång för att inkludera de nyligen identifierade implantaten.