黑客如何挫败梭子鱼的漏洞修补

梭子鱼网络在 5 月 20 日披露其 Email Security Gateway（ESG） 发现了一个 0day——远程命令注入漏洞 CVE-2023-2868。而这个 0day 从去年 10 月起被活跃利用了 8 个月，被攻击者利用安装恶意程序窃取敏感数据。梭子鱼在六月初发布了不同寻常的声明，建议客户直接替换受影响的设备。现在我们知道了原因：修复的设备又重新感染了恶意程序。安全公司 Mandiant 发表报告称，黑客组织 UNC4841 早就做好了反制漏洞修补的准备。从去年 10 月开始 UNC4841 选择性的感染了部分梭子鱼客户，数量大约在 400-500 左右。在梭子鱼发布补丁堵上漏洞之后，UNC4841 再次选择性的对部分高价值目标释出了 DepthCharge、SkipJack 和 FoxTrot/FoxGlove 三种恶意程序。其中 DepthCharge 被认为最复杂，它设计在 ESG 清除掉恶意程序之后重新感染，方法是在备份配置中隐藏恶意代码。