Группа угроз, связанная с Китаем, использовала недостатки безопасности в Connectwise ScreenConnect и программном обеспечении F5 BIG-IP для доставки заказного вредоносного ПО, способного создавать дополнительные бэкдоры на скомпрометированных хостах Linux в рамках "агрессивной" кампании.
Компания Mandiant, принадлежащая Google, отслеживает активность под своим некатегоризированным псевдонимом UNC5174 (он же Uteus или Uetus), описывая ее как "бывшего члена китайских хактивистских коллективов, который с тех пор продемонстрировал признаки того, что действовал в качестве подрядчика Министерства государственной безопасности Китая (MSS), сосредоточенного на выполнении операций доступа".
Считается, что злоумышленник организовал широкомасштабные атаки на исследовательские и образовательные учреждения Юго-Восточной Азии и США, предприятия Гонконга, благотворительные и неправительственные организации (НПО), а также правительственные организации США и Великобритании в период с октября по ноябрь 2023 года и снова в феврале 2024 года с использованием ошибки ScreenConnect.
Первоначальный доступ к целевым средам облегчается за счет использования известных недостатков безопасности в Atlassian Confluence (CVE-2023-22518), ConnectWise ScreenConnect (CVE-2024-1709), F5 BIG-IP (CVE-2023-46747), ядре Linux (CVE-2022-0185) и Zyxel (CVE-2022-3052).
За успешным закреплением следует обширная разведка и сканирование интернет-систем на предмет уязвимостей в системе безопасности, при этом UNC5174 также создает учетные записи администратора для выполнения вредоносных действий с повышенными привилегиями, включая удаление ELF-загрузчика на C под названием SNOWLIGHT.
SNOWLIGHT предназначен для загрузки полезной нагрузки следующего этапа, запутанного бэкдора Golang с именем GOREVERSE, с удаленного URL, связанного с SUPERSHELL, командной и управляющей платформой (C2) с открытым исходным кодом, которая позволяет злоумышленникам устанавливать обратный SSH-туннель и запускать сеансы интерактивной оболочки для выполнения произвольного кода.
Также злоумышленник использует инструмент туннелирования на базе Golang, известный как GOHEAVY, который, вероятно, используется для облегчения бокового перемещения в скомпрометированных сетях, а также другие программы, такие как afrog, DirBuster, Metasploit, Sliver и sqlmap.
В одном необычном случае, обнаруженном фирмой threat intelligence, было обнаружено, что участники угрозы применили меры по смягчению последствий для CVE-2023-46747, вероятно, пытаясь помешать другим, не связанным с ними злоумышленникам использовать ту же лазейку для получения доступа.
"UNC5174 (он же Uteus) ранее был участником китайских хактивистских коллективов "Dawn Calvary" и сотрудничал с "Genesis Day" / "Xiaoqiying" и "Teng Snake", - оценил Мандиант. "Этот человек, похоже, покинул эти группы в середине 2023 года и с тех пор сосредоточился на выполнении операций доступа с намерением посредничества в доступе к скомпрометированным средам".
Есть основания полагать, что субъект угрозы может быть посредником начального доступа и пользуется поддержкой MSS, учитывая их предполагаемые заявления на форумах dark web. Это подтверждается тем фактом, что некоторые подразделения министерства обороны США и правительства Великобритании одновременно стали мишенью другого посредника доступа, известного как UNC302.
Полученные данные еще раз подчеркивают продолжающиеся усилия китайских национальных государственных групп по взлому передовых устройств путем быстрого использования недавно обнаруженных уязвимостей в своем арсенале для проведения масштабных операций по кибершпионажу.
"Была замечена попытка UNC5174 продать доступ к оборудованию оборонного подрядчика США, государственным структурам Великобритании и учреждениям в Азии в конце 2023 года после использования CVE-2023-46747", - сообщили исследователи Mandiant.
"Между UNC5174 и UNC302 есть сходство, которое предполагает, что они работают в среде MSS initial access broker. Эти сходства предполагают возможные общие эксплойты и операционные приоритеты между этими участниками угрозы, хотя для окончательной атрибуции требуется дальнейшее расследование".
Раскрытие происходит после того, как MSS предупредила, что неназванная иностранная хакерская группа проникла в "сотни" китайских деловых и правительственных организаций, используя фишинговые электронные письма и известные ошибки безопасности для взлома сетей. Имя или происхождение субъекта угрозы не раскрывается.
Компания Mandiant, принадлежащая Google, отслеживает активность под своим некатегоризированным псевдонимом UNC5174 (он же Uteus или Uetus), описывая ее как "бывшего члена китайских хактивистских коллективов, который с тех пор продемонстрировал признаки того, что действовал в качестве подрядчика Министерства государственной безопасности Китая (MSS), сосредоточенного на выполнении операций доступа".
Считается, что злоумышленник организовал широкомасштабные атаки на исследовательские и образовательные учреждения Юго-Восточной Азии и США, предприятия Гонконга, благотворительные и неправительственные организации (НПО), а также правительственные организации США и Великобритании в период с октября по ноябрь 2023 года и снова в феврале 2024 года с использованием ошибки ScreenConnect.
Первоначальный доступ к целевым средам облегчается за счет использования известных недостатков безопасности в Atlassian Confluence (CVE-2023-22518), ConnectWise ScreenConnect (CVE-2024-1709), F5 BIG-IP (CVE-2023-46747), ядре Linux (CVE-2022-0185) и Zyxel (CVE-2022-3052).
За успешным закреплением следует обширная разведка и сканирование интернет-систем на предмет уязвимостей в системе безопасности, при этом UNC5174 также создает учетные записи администратора для выполнения вредоносных действий с повышенными привилегиями, включая удаление ELF-загрузчика на C под названием SNOWLIGHT.
SNOWLIGHT предназначен для загрузки полезной нагрузки следующего этапа, запутанного бэкдора Golang с именем GOREVERSE, с удаленного URL, связанного с SUPERSHELL, командной и управляющей платформой (C2) с открытым исходным кодом, которая позволяет злоумышленникам устанавливать обратный SSH-туннель и запускать сеансы интерактивной оболочки для выполнения произвольного кода.
Также злоумышленник использует инструмент туннелирования на базе Golang, известный как GOHEAVY, который, вероятно, используется для облегчения бокового перемещения в скомпрометированных сетях, а также другие программы, такие как afrog, DirBuster, Metasploit, Sliver и sqlmap.
В одном необычном случае, обнаруженном фирмой threat intelligence, было обнаружено, что участники угрозы применили меры по смягчению последствий для CVE-2023-46747, вероятно, пытаясь помешать другим, не связанным с ними злоумышленникам использовать ту же лазейку для получения доступа.
"UNC5174 (он же Uteus) ранее был участником китайских хактивистских коллективов "Dawn Calvary" и сотрудничал с "Genesis Day" / "Xiaoqiying" и "Teng Snake", - оценил Мандиант. "Этот человек, похоже, покинул эти группы в середине 2023 года и с тех пор сосредоточился на выполнении операций доступа с намерением посредничества в доступе к скомпрометированным средам".
Есть основания полагать, что субъект угрозы может быть посредником начального доступа и пользуется поддержкой MSS, учитывая их предполагаемые заявления на форумах dark web. Это подтверждается тем фактом, что некоторые подразделения министерства обороны США и правительства Великобритании одновременно стали мишенью другого посредника доступа, известного как UNC302.
Полученные данные еще раз подчеркивают продолжающиеся усилия китайских национальных государственных групп по взлому передовых устройств путем быстрого использования недавно обнаруженных уязвимостей в своем арсенале для проведения масштабных операций по кибершпионажу.
"Была замечена попытка UNC5174 продать доступ к оборудованию оборонного подрядчика США, государственным структурам Великобритании и учреждениям в Азии в конце 2023 года после использования CVE-2023-46747", - сообщили исследователи Mandiant.
"Между UNC5174 и UNC302 есть сходство, которое предполагает, что они работают в среде MSS initial access broker. Эти сходства предполагают возможные общие эксплойты и операционные приоритеты между этими участниками угрозы, хотя для окончательной атрибуции требуется дальнейшее расследование".
Раскрытие происходит после того, как MSS предупредила, что неназванная иностранная хакерская группа проникла в "сотни" китайских деловых и правительственных организаций, используя фишинговые электронные письма и известные ошибки безопасности для взлома сетей. Имя или происхождение субъекта угрозы не раскрывается.
