Çin bağlantılı bir tehdit kümesi, Connectwise ScreenConnect ve F5 BIG-IP yazılımındaki güvenlik kusurlarından yararlanarak, “agresif” bir kampanyanın parçası olarak güvenliği ihlal edilmiş Linux ana bilgisayarlarına ek arka kapılar sunabilen özel kötü amaçlı yazılımlar sundu.
Google'ın sahibi olduğu Mandiant, etkinliği kategorize edilmemiş adı altında izliyor UNC5174 (aka Uteus veya Uetus), onu “o zamandan beri erişim operasyonlarını yürütmeye odaklanan Çin Devlet Güvenlik Bakanlığı (MSS) için yüklenici olarak hareket ettiğine dair belirtiler gösteren Çinli hacktivist kolektiflerin eski bir üyesi” olarak tanımlıyor.
Tehdit aktörünün Ekim ve Kasım 2023 arasında ve yine Şubat ayında Güneydoğu Asya ve ABD araştırma ve eğitim kurumlarına, Hong Kong işletmelerine, hayır kurumlarına ve sivil toplum kuruluşlarına (STK'lar), ABD ve Birleşik Krallık hükümet kuruluşlarına yönelik yaygın saldırılar düzenlediğine inanılıyor. 2024 ScreenConnect hatasını kullanıyor.
Hedef ortamlara ilk erişim, Atlassian Confluence (CVE-2023-22518), ConnectWise ScreenConnect (CVE-2024-1709), F5 BIG-IP (CVE-2023-46747), Linux Çekirdeğindeki (CVE-2023-46747) bilinen güvenlik açıklarından yararlanılarak kolaylaştırılır. CVE-2022-0185) ve Zyxel (CVE-2022-3052).
Başarılı bir dayanağı, internete bakan sistemlerin güvenlik açıklarına karşı kapsamlı bir şekilde keşfedilmesi ve taranması takip ediyor; UNC5174 ayrıca, SNOWLIGHT adlı C tabanlı bir ELF indiricisinin bırakılması da dahil olmak üzere, yüksek ayrıcalıklarla kötü amaçlı eylemleri yürütmek için yönetici kullanıcı hesapları oluşturuyor.
SNOWLIGHT, saldırganların ters bir SSH tüneli kurmasına olanak tanıyan açık kaynaklı bir komuta ve kontrol (C2) çerçevesi olan SUPERSHELL ile ilişkili uzak bir URL'den GOREVERSE adlı gizlenmiş bir Golang arka kapısı olan bir sonraki aşama yükünü indirmek için tasarlanmıştır. isteğe bağlı kod yürütmek için etkileşimli kabuk oturumları başlatın.
Tehdit aktörü ayrıca, GOHEAVY olarak bilinen Golang tabanlı bir tünel açma aracını da kullanıyor. Bu araç, muhtemelen tehlikeye atılan ağlarda yanal hareketi kolaylaştırmak için kullanılıyor ve ayrıca afrog, DirBuster, Metasploit, Sliver ve sqlmap gibi diğer programlar da kullanılıyor.
Tehdit istihbaratı firmasının tespit ettiği sıra dışı bir örnekte, tehdit aktörlerinin CVE-2023-46747 için hafifletici önlemler uyguladıkları ve muhtemelen ilgisiz diğer rakiplerin de erişim elde etmek için aynı yasal boşluğu silahlandırmasını engelleme girişiminde bulundukları tespit edildi.
Mandiant, “UNC5174 (diğer adıyla Uteus) daha önce Çinli hacktivist kolektif 'Dawn Calvary'nin bir üyesiydi ve 'Genesis Day”https://thehackernews.com/”Xiaoqiying' ve 'Teng Snake' ile işbirliği yapmıştı” dedi. “Bu kişi, 2023'ün ortasında bu gruplardan ayrılmış gibi görünüyor ve o zamandan beri, güvenliği ihlal edilmiş ortamlara erişime aracılık etme amacıyla erişim operasyonlarını yürütmeye odaklandı.”
Karanlık ağ forumlarındaki iddiaları göz önüne alındığında, tehdit aktörünün ilk erişim aracısı olabileceğini ve MSS'nin desteğine sahip olabileceğini gösteren kanıtlar var. Bu, bazı ABD savunma ve Birleşik Krallık hükümet kuruluşlarının aynı anda UNC302 olarak adlandırılan başka bir erişim komisyoncusu tarafından hedef alınmasıyla da destekleniyor.
Bulgular, Çinli ulus-devlet gruplarının, geniş ölçekte siber casusluk operasyonları yürütmek için yakın zamanda ortaya çıkan güvenlik açıklarını hızlı bir şekilde kendi cephaneliklerine dahil ederek uç cihazları ihlal etme çabalarının devam ettiğini bir kez daha vurguluyor.
Mandiant araştırmacıları, “UNC5174'ün, CVE-2023-46747'nin kötüye kullanılmasının ardından 2023'ün sonlarında ABD savunma yüklenici cihazlarına, Birleşik Krallık devlet kurumlarına ve Asya'daki kurumlara erişim satmaya çalıştığı gözlemlendi.” dedi.
“UNC5174 ile UNC302 arasında benzerlikler var, bu da onların bir MSS ilk erişim aracısı ortamında çalıştıklarını gösteriyor. Bu benzerlikler, bu tehdit aktörleri arasında olası paylaşılan istismarları ve operasyonel öncelikleri akla getiriyor, ancak kesin atıf için daha fazla araştırma yapılması gerekiyor.”
Açıklama, MSS'nin, isimsiz bir yabancı bilgisayar korsanlığı grubunun kimlik avı e-postalarından ve bilinen güvenlik hatalarından yararlanarak ağları ihlal ederek “yüzlerce” Çinli iş ve hükümet kuruluşuna sızdığı konusunda uyardığı sırada geldi. Tehdit aktörünün adı veya kökeni açıklanmadı.