关于梭子鱼ESG漏洞的技术调查中文报告

2023年5月底，梭子鱼公司宣布其邮件安全网关ESG设备中含有CVE-2023-2868漏洞，可被黑客利用进行APT攻击盗窃数据。

经深入调查发现，早从2022年10月10日开始，攻击者就向受害者组织发送了包含恶意文件附件的电子邮件，这些恶意文件附件旨在利用CVE-2023-2868漏洞获得梭子鱼ESG设备的初始访问权限。

在成功获得ESG的访问权限后，黑客主要依靠三个恶意代码家族（SALTWATER，SEASPY和SEASIDE）来尝试伪装成合法的梭子鱼ESG的功能模块或服务，长期在ESG后台运行，有目的性地对感兴趣的特定数据进行过滤和盗取。与此同时，在某些情况下，黑客利用对ESG设备的访问进一步向受害者的IT网络进行横向移动攻击，或向其他受害者的设备发送攻击邮件。

2023年5月19日，黑客活动被梭子鱼公司发现。2023年5月21日，梭子鱼公司开始发布系统补丁。为了躲避梭子鱼公司的防范措施，攻击者迅速修改了他们的恶意软件，并使用了其他的APT持久性攻击手段，试图保持对攻陷ESG设备的访问。在2023年5月22日至2023年5月24日期间，黑客攻击了至少16个不同国家的目标。2023年6月6日，梭子鱼公司建议所有受影响的梭子鱼客户立即隔离和更换被攻陷的设备。

思安麦赛邮件安全实验室（MailSec Lab）的专家团队，针对梭子鱼ESG漏洞的技术调查报告进行了研究和中文翻译。该报告长达44页，提供了攻击技术的详细细节，包括对ESG设备的入侵，部署恶意软件，盗窃数据，以及攻击者在应对梭子鱼公司的防护补丁时，在攻击战术、技术和程序上的转变。与此同时，报告对整个事件进行了总结，并为受影响的组织提供了强化、补救和检测的建议。