Um agrupamento de ameaças vinculado à China se aproveitou das falhas de segurança no software Connectwise ScreenConnect e F5 BIG-IP para entregar malware personalizado capaz de fornecer backdoors adicionais em hospedeiros Linux comprometidos, como parte de uma campanha "agressiva".
Mandiant, de propriedade do Google, está rastreando a atividade sob seu apelido não categorizado UNC5174 (também conhecido como Uteus ou Uetus), descrevendo-o como um "ex-membro de coletivos de hacktivistas chineses que desde então mostrou indícios de atuar como um contratado para o Ministério de Segurança do Estado (MSS) da China focado em executar operações de acesso."
Acredita-se que o ator da ameaça tenha orquestrado ataques generalizados contra instituições de pesquisa e educação do sudeste asiático e dos EUA, empresas de Hong Kong, organizações beneficentes e não governamentais (ONGs) e organizações governamentais dos EUA e do Reino Unido entre outubro e novembro de 2023 e novamente em fevereiro de 2024 usando o bug do ScreenConnect.
O acesso inicial a ambientes alvo é facilitado pela exploração de falhas de segurança conhecidas em Atlassian Confluence (
CVE-2023-22518
), ConnectWise ScreenConnect (CVE-2024-1709), F5 BIG-IP (
CVE-2023-46747
), Linux Kernel (
CVE-2022-0185
), e Zyxel (
CVE-2022-3052
).
Uma presença bem-sucedida é seguida por um extenso reconhecimento e varredura de sistemas voltados para a internet em busca de vulnerabilidades de segurança, com UNC5174 também criando contas de usuários administrativos para executar ações maliciosas com privilégios elevados, incluindo a inserção de um downloader ELF baseado em C chamado SNOWLIGHT.
SNOWLIGHT é projetado para baixar o payload da próxima etapa, um backdoor Golang ofuscado chamado GOREVERSE, de uma URL remota que está relacionada ao SUPERSHELL, um vetor de comando e controle (C2) de código aberto que permite que os invasores estabeleçam um túnel SSH reverso e iniciem sessões de shell interativas para executar código arbitrário.
O ator da ameaça também utiliza uma ferramenta de tunelamento baseada em Golang conhecida como GOHEAVY, que provavelmente é empregada para facilitar o movimento lateral dentro de redes comprometidas, bem como outros programas como afrog, DirBuster, Metasploit, Sliver e sqlmap.
Em um caso incomum observado pela empresa de inteligência de ameaças, os atores da ameaça foram encontrados aplicando medidas de mitigação para
CVE-2023-46747
numa tentativa provável de evitar que outros adversários não relacionados usassem a mesma brecha para obter acesso.
"UNC5174 (também conhecido como Uteus) foi anteriormente membro dos coletivos de hacktivistas chineses 'Dawn Calvary' e colaborou com 'Genesis Day' / 'Xiaoqiying' e 'Teng Snake'", avaliou a Mandiant.
"Essa pessoa parece ter se afastado desses grupos em meados de 2023 e desde então se concentrou em executar operações de acesso com o intuito de intermediar o acesso a ambientes comprometidos."
Há evidências sugerindo que o ator da ameaça pode ser um agente de acesso inicial, chegando a afirmar ter afiliação com o MSS em fóruns na dark web.
Isso é reforçado pelo fato de algumas das entidades de defesa dos EUA e organizações governamentais do Reino Unido terem sido buscadas simultaneamente por outro agente de acesso conhecido como UNC302.
Os resultados mais uma vez destacam os esforços contínuos dos grupos de estado-nação chineses para violar os aparelhos edge, incorporando rapidamente vulnerabilidades recentemente divulgadas em seu arsenal para conduzir operações de espionagem cibernética em larga escala.
"UNC5174 foi observado tentando vender o acesso a aparelhos de contratantes de defesa dos EUA, entidades governamentais do Reino Unido e instituições na Ásia no final de 2023 após a exploração do
CVE-2023-46747
", disseram os pesquisadores da Mandiant.
"Há semelhanças entre UNC5174 e UNC302, o que sugere que eles operam dentro de uma paisagem de agentes de acesso inicial do MSS.
Essas semelhanças sugerem possíveis explorações compartilhadas e prioridades operacionais entre esses atores da ameaça, embora uma investigação mais aprofundada seja necessária para uma atribuição definitiva."
A divulgação ocorre conforme o MSS alertou que um grupo de hackers estrangeiro não identificado haviam infiltrado "centenas" de organizações empresariais e governamentais chinesas, aproveitando-se de emails de phishing e bugs de segurança conhecidos para violar redes.
Não foi revelado o nome ou a origem do ator da ameaça.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...