黑客如何挫敗梭子魚的漏洞修補

梭子魚網絡在 5 月 20 日披露其 Email Security Gateway（ESG） 發現了一個 0day——遠程命令注入漏洞 CVE-2023-2868。而這個 0day 從去年 10 月起被活躍利用了 8 個月，被攻擊者利用安裝惡意程序竊取敏感數據。梭子魚在六月初發布了不同尋常的聲明，建議客戶直接替換受影響的設備。現在我們知道了原因：修復的設備又重新感染了惡意程序。安全公司 Mandiant 發表報告稱，黑客組織 UNC4841 早就做好了反制漏洞修補的準備。從去年 10 月開始 UNC4841 選擇性的感染了部分梭子魚客戶，數量大約在 400-500 左右。在梭子魚發布補丁堵上漏洞之后，UNC4841 再次選擇性的對部分高價值目標釋出了 DepthCharge、SkipJack 和 FoxTrot/FoxGlove 三種惡意程序。其中 DepthCharge 被認為最復雜，它設計在 ESG 清除掉惡意程序之后重新感染，方法是在備份配置中隱藏惡意代碼。