Feltehetően kínai szereplők a Barracuda kihasználás mögött
2023. május 23-án a Barracuda bejelentette, hogy a Barracuda Email Security Gateway (ESG) nulladik napi sebezhetőségét (CVE-2023-2868) amit aktívan kihasználták már 2022 októberében, bevonták a Mandiantot, hogy segítsen a nyomozásban. A nyomozás során a Mandiant azonosított egy feltételezett kínai kapcsolati szereplőt, akit jelenleg UNC4841 néven nyomon követnek, és a Barracuda ESG eszközök egy részét célozta meg kémkedési céllal. A Mandiant nagy magabiztossággal értékeli, hogy az UNC4841 egy kémszereplő a Kínai Népköztársaságot támogató széles körű kampány mögött.
Amikor a Barracuda felfedezte az incidenst, és kiadta a javításokat, az UNC4841 módosította a rosszindulatú programjait, és diverzifikálta a perzisztencia mechanizmusait, hogy elkerülje az IoC-alapú védelmet. Később a Barracuda azt javasolta az eszközeit használóknak, hogy ne is frissítsenek, hanem kicserélik az érintett eszközöket.
A hackerek 2023. május 22. és május 24. között támadást indítottak kormányzati szervek és más fontos szervezetek sebezhető eszközei ellen legalább 16 országban.
A Mandiant megosztotta a támadásban használt eszközöket, kártékony kódokat, az azonosításhoz szükséges mutatókat és különböző szabályokat (YARA, Suricata).