中国黑客针对巴拉库达安全网关的攻击

关键要点

Mandiant 研究人员发现近期针对巴拉库达邮件安全网关ESG设备的攻击背后，有中国政府支持的黑客集团和后续攻击活动。不明黑客组织 UNC4841 在 2022 年 10 月到 2023 年 6 月期间，对全球的巴拉库达 ESG 设备进行了攻击。Mandiant 在发现这些攻击后被巴拉库达聘请进行调查，并与多个受影响的组织及当局紧密合作。攻击者部署了一种新型后门恶意软件 DEPTHCHARGE，以维护对受害网络的持续侵入。研究人员指出，攻击者在进行攻击时已做好应对补救措施的准备，显示出其规划的周密性和资金的充足。

Mandiant 表示，负责近期对巴拉库达 ESG 设备进行攻击的黑客团体已经对被攻陷的组织展开后续攻击，并对中国政府的“高价值目标”表现出极大的关注。这些攻击者通过智能地规避受害者的补救措施，试图持续保持其对这些网络的访问权限。

最近，Mandiant 识别了一个不为人知的威胁组织 UNC4841，强调该组织与中国之间有明显的联系。该组织在全球范围内攻击了巴拉库达 ESG 装置，时间跨度从 2022 年 10 月到 2023 年 6 月。

Mandiant 在五月发现这些攻击时被巴拉库达聘请进行调查，并与受影响的组织和多个管辖区的当局保持密切合作。

在今天发布的研究报告中，Mandiant 指出，UNC4841 能够在组织努力补救初期攻击时，向其目标网络部署额外的恶意软件，以保持其在一些小型网络中的存在。

恶意软件名称描述DEPTHCHARGE一种新型后门恶意软件，用于保持攻击者的持续存在

Mandiant 的研究人员，包括 Austin Larsen、John Palmisano、John Wolfram、Matthew Potaczek 和 Michael Raggi 表示：“UNC4841 部署特定的后门表明，该攻击者提前制定了应对补救工作的工具，以确保在攻击受到影响时能够继续潜藏于高价值目标中。”

安卓加速器下载

此外，Larsen 表示，中国相关的间谍组织一直在努力改进其操作，以提升其影响力的隐蔽性和有效性。他指出：“我们正在与资源、资金及专业知识极为丰富的强大对手展开斗争，他们能够成功地开展全球间谍活动而不被发现。”

全球约 5 的巴拉库达 ESG 装置在此攻击活动中遭到侵入。Mandiant 还提到，尽管 UNC4841 致力于在部分设备上维护持久性，但自巴拉库达为最初的远程命令注入漏洞CVE20232868发布补丁以来，未再发现其他设备的新感染。

政府机构与高科技公司成为目标

Mandiant 在分析 UNC4841 部署的工具时，发现其明显针对政府组织、信息技术公司及其他高科技目标，这进一步支持了该活动具有间谍动机的评估。

在此次攻击中，已确认受影响的一个政府组织是澳大利亚首都地区政府，负责管理澳大利亚首都堪培拉所在的联邦地区。

UNC4841 尝试登录受害组织用户的 Outlook Web Access 邮箱。在一些情况下，该黑客组织一旦获得了对邮件账户的访问权限，却没有从被攻陷的账户发送任何邮件或采取明显的行动。Mandiant 认为，该组织可能试图持续保持对受害者邮箱的访问，并收集信息。

Mandiant 表示：“由于他们的复杂手段和渴望保持访问的意图，预计 UNC4841 将继续调整他们的策略、技术和程序，并根据网络防御者的反制