梭子鱼网络在 5 月 20 日披露其 Email Security Gateway(ESG) 发现了一个 0day——远程命令注入漏洞 CVE-2023-2868。而这个 0day 从去年 10 月起被活跃利用了 8 个月,被攻击者利用安装恶意程序窃取敏感数据。梭子鱼在六月初发布了不同寻常的声明,建议客户直接替换受影响的设备。现在我们知道了原因:修复的设备又重新感染了恶意程序。安全公司 Mandiant 发表报告称,黑客组织 UNC4841 早就做好了反制漏洞修补的准备。从去年 10 月开始 UNC4841 选择性的感染了部分梭子鱼客户,数量大约在 400-500 左右。在梭子鱼发布补丁堵上漏洞之后,UNC4841 再次选择性的对部分高价值目标释出了 DepthCharge、SkipJack 和 FoxTrot/FoxGlove 三种恶意程序。其中 DepthCharge 被认为最复杂,它设计在 ESG 清除掉恶意程序之后重新感染,方法是在备份配置中隐藏恶意代码。
https://arstechnica.com/security/2023/08/barracuda-thought-it-drove-0-day-hackers-out-of-customers-networks-it-was-wrong/