Barracuda ESG狙った攻撃に関与疑いの中国APT、パッチや対策の取り組みを事前に予測し準備していた:CVE-2023-2868
Barracuda製ESGアプライアンスのゼロデイ脆弱性CVE-2023-2868を悪用した攻撃キャンペーンの実行者と考えられる中国のサイバースパイグループは、Barracudaにより対策のための取り組みがなされることを予測し、パッチやマルウェア対策用スクリプトのリリース・適用後も標的システムへのアクセスを維持できるよう、事前に準備を整えていたという。同グループを「UNC4841」という名称のもと追跡しているMandiantが、29日に公開されたレポートの中で明らかにした。
CVE-2023-2868の悪用・パッチ等に関するタイムライン
Barracuda製ESGの脆弱性は、2023年5月19日に特定されて20日のセキュリティパッチと21日のマルウェア対策用スクリプトのリリースによって修正されたが、23日には攻撃者によって悪用されていたことがBarracudaにより公表されていた。Mandiantによれば、この悪用は遅くとも2022年10月から行われていたという。
関連記事:Barracuda製ESGアプライアンスのゼロデイ利用したハッキング、2022年10月から行われていた(CVE-2023-2868)
Mandiantによれば、パッチリリース以後に悪用の試みが成功し、新たにESGアプライアンスが侵害されるに至った例は確認されていないとのこと。しかし、リリース前の段階で事前に展開されていたメカニズムにより、UNC4841は5月23日以降も一部システムへ持続的にアクセスできているのだという。
・2022年10月:悪用開始
・2023年1月20日〜22日ごろ:UNC4841の活動量が大幅に減少。これは春節(旧正月)の開始時期と一致。
・2023年1月23日以降:UNC4841の活動が再び観測されるように。
・2023年5月18日:BarracudaはESGアプライアンスから発せられた変則的なトラフィックに関するアラートを受け取り、Mandiantとともに調査を開始。
・2023年5月19日:Barracudaが脆弱性CVE-2023-2868を特定。
・2023年5月20日:CVE-2023-2868に対するパッチがリリースされる。
・2023年5月21日:影響を受けた全アプライアンス向けに、インシデントを抑え込み、不正アクセス手法に対抗するためのスクリプトが展開される。
・2023年5月23日:脆弱性および悪用についてBarracudaが公表。数日後、アクターによる活動量が急増(Barracudaによる対策実施を受け、マルウェアの入れ替えや持続性維持の手法の変更が行われたとされる)。
・2023年6月初旬:アクターによる活動量が再び急増。Mandiantは、アクターが新たなマルウェアファミリーのSKIPJACK、DEPTHCHARGE、FOXTROTまたはFOXGLOVEを展開することにより侵害した環境へのアクセスを維持しようとするのを発見。
関連記事:米CISA、Barracuda製ESGアプライアンス狙った攻撃で使用されたバックドア「SUBMARINE」について注意喚起(CVE-2023-2868)
世界の政府、ハイテク・情報テクノロジー業界などが標的に
Mandiantの観測によれば、UNC4841によって用いられる諸ツールの標的になったとされる組織の27%は政府関連組織で、73%が非政府組織だったという。業界別で被害数が特に多かったとされるのは以下。
・政府(国)
・ハイテク/情報テクノロジー
・地方政府
・電気通信
・製造
・カレッジ/大学
また地域別では北米での被害が最も多かったとされるが、日本や中国、台湾、香港などアジア地域でも被害が観測されているという。標的の傾向などを踏まえ、Mandiantは、このキャンペーンの動機はスパイ行為の実施であろうとの評価の信憑性が高まったと述べている。
(情報源:SecurityWeek “Chinese APT Was Prepared for Remediation Efforts in Barracuda ESG Zero-Day Attack”、Mandiant “Diving Deep into UNC4841 Operations Following Barracuda ESG Zero-Day Remediation (CVE-2023-2868)”、Barracuda “Barracuda Email Security Gateway Appliance (ESG) Vulnerability”)