Mandiant hat aktuell einen mutmaßlichen China-Nexus-Akteur identifiziert, den das Unternehmen derzeit unter der Bezeichnung UNC4841 trackt. Dieser kann Stand heute noch keiner bekannten Bedrohungsgruppe zugeordnet werden. Er ist für das Targeting und die Ausnutzung einer Untergruppe von Barracuda ESG-Appliances verantwortlich.
Mandiant geht mit hoher Wahrscheinlichkeit davon aus, dass UNC4841 diese kompromittierten Appliances genutzt hat, um Spionageaktivitäten zur Unterstützung der Volksrepublik China durchzuführen. Obwohl Mandiant diese Aktivitäten noch nicht einer bereits bekannten Bedrohungsgruppe zuordnen konnte, wurden mehrere Überschneidungen in der Infrastruktur und im Malware-Code festgestellt.
Diese deuten mit hoher Wahrscheinlichkeit darauf hin, dass es sich um eine Spionageoperation mit Bezug zu China handelt. Darüber hinaus konzentrierten sich die Angriffe sowohl auf organisatorischer als auch auf individueller Ebene auf Themen, die für die Volksrepublik China hohe politische Prioritäten darstellen, insbesondere im asiatisch-pazifischen Raum.
Charles Carmakal, CTO, Mandiant Consulting bei Google Cloud, zum Spionageakteur UNC4841:
„Dies ist die umfangreichste Cyberspionage-Kampagne, die seit der massenhaften Ausnutzung von Microsoft Exchange Anfang 2021 von einem Bedrohungsakteur mit chinesischem Hintergrund durchgeführt wurde. Im Fall von Barracuda kompromittierte der Bedrohungsakteur die E-Mail-Sicherheitsanwendungen hunderter Organisationen. Bei einem Teil der Opfer stahlen sie die E-Mails prominenter Mitarbeiter, die sich mit Angelegenheiten befassen, die für die chinesische Regierung von Interesse sind.“
Die wichtigsten Erkenntnisse:
- Um sich einen ersten Zugang zu den anfälligen Barracuda ESG-Appliances zu verschaffen, versandte UNC4841 bereits am 10. Oktober 2022 E-Mails mit bösartigen Dateianhängen, die CVE-2023-2868 ausnutzen sollten, an die betroffenen Organisationen.
- UNC4841 setzte eine Vielzahl benutzerdefinierter Malware ein, um eine dauerhafte Präsenz einzurichten und Spionageoperationen von den betroffenen ESG-Appliances auszuführen.
- Die Aktivitäten von UNC4841 zielten auf mehrere Opfer in der ganzen Weltab, dabei waren etwa ein Drittel der identifizierten betroffenen Organisationen Regierungsbehörden:
- Dazu gehören das Außenministerium der Staaten des Verbands Südostasiatischer Nationen (ASEAN) sowie Außenhandelsbüros und akademische Forschungseinrichtungen an verschiedenen Orten wie beispielsweise Hongkong.
- Ein Großteil der Angriffsaktivitäten scheint sich auf den amerikanischen Kontinent zu beziehen. Mandiant merkt jedoch an, dass dies zum Teil auf den Kundenstamm von Barracuda zurückzuführen sein könnte.
- Dazu gehören das Außenministerium der Staaten des Verbands Südostasiatischer Nationen (ASEAN) sowie Außenhandelsbüros und akademische Forschungseinrichtungen an verschiedenen Orten wie beispielsweise Hongkong.
- Mandiant stellte fest, dass UNC4841 nach E-Mail-Konten von Personen suchte, die für eine Regierung mit politischem oder strategischem Interesse für die Volksrepublik China arbeiteten, während die betroffene Regierung an hochrangigen, diplomatischen Treffen mit anderen Ländern teilnahm.
- UNC4841 änderte seine Taktiken, Techniken und Verfahren (TTP), als Barracudas sich bemühte, die Schwachstelle zu beheben. Mandiant geht davon aus, dass UNC4841 seine TTP weiter ändern und sein Toolkit anpassen wird, insbesondere wenn Verteidiger weiterhin dagegen vorgehen und seine Aktivitäten weiter durch die Infosec-Community aufgedeckt werden.