Grupo Vinculado à China Viola Redes através das Falhas de Software Connectwise, F5
22 de Março de 2024

Um agrupamento de ameaças vinculado à China se aproveitou das falhas de segurança no software Connectwise ScreenConnect e F5 BIG-IP para entregar malware personalizado capaz de fornecer backdoors adicionais em hospedeiros Linux comprometidos, como parte de uma campanha "agressiva".

Mandiant, de propriedade do Google, está rastreando a atividade sob seu apelido não categorizado UNC5174 (também conhecido como Uteus ou Uetus), descrevendo-o como um "ex-membro de coletivos de hacktivistas chineses que desde então mostrou indícios de atuar como um contratado para o Ministério de Segurança do Estado (MSS) da China focado em executar operações de acesso."

Acredita-se que o ator da ameaça tenha orquestrado ataques generalizados contra instituições de pesquisa e educação do sudeste asiático e dos EUA, empresas de Hong Kong, organizações beneficentes e não governamentais (ONGs) e organizações governamentais dos EUA e do Reino Unido entre outubro e novembro de 2023 e novamente em fevereiro de 2024 usando o bug do ScreenConnect.

O acesso inicial a ambientes alvo é facilitado pela exploração de falhas de segurança conhecidas em Atlassian Confluence ( CVE-2023-22518 ), ConnectWise ScreenConnect (CVE-2024-1709), F5 BIG-IP ( CVE-2023-46747 ), Linux Kernel ( CVE-2022-0185 ), e Zyxel ( CVE-2022-3052 ).

Uma presença bem-sucedida é seguida por um extenso reconhecimento e varredura de sistemas voltados para a internet em busca de vulnerabilidades de segurança, com UNC5174 também criando contas de usuários administrativos para executar ações maliciosas com privilégios elevados, incluindo a inserção de um downloader ELF baseado em C chamado SNOWLIGHT.

SNOWLIGHT é projetado para baixar o payload da próxima etapa, um backdoor Golang ofuscado chamado GOREVERSE, de uma URL remota que está relacionada ao SUPERSHELL, um vetor de comando e controle (C2) de código aberto que permite que os invasores estabeleçam um túnel SSH reverso e iniciem sessões de shell interativas para executar código arbitrário.

O ator da ameaça também utiliza uma ferramenta de tunelamento baseada em Golang conhecida como GOHEAVY, que provavelmente é empregada para facilitar o movimento lateral dentro de redes comprometidas, bem como outros programas como afrog, DirBuster, Metasploit, Sliver e sqlmap.

Em um caso incomum observado pela empresa de inteligência de ameaças, os atores da ameaça foram encontrados aplicando medidas de mitigação para CVE-2023-46747 numa tentativa provável de evitar que outros adversários não relacionados usassem a mesma brecha para obter acesso.

"UNC5174 (também conhecido como Uteus) foi anteriormente membro dos coletivos de hacktivistas chineses 'Dawn Calvary' e colaborou com 'Genesis Day' / 'Xiaoqiying' e 'Teng Snake'", avaliou a Mandiant.

"Essa pessoa parece ter se afastado desses grupos em meados de 2023 e desde então se concentrou em executar operações de acesso com o intuito de intermediar o acesso a ambientes comprometidos."

Há evidências sugerindo que o ator da ameaça pode ser um agente de acesso inicial, chegando a afirmar ter afiliação com o MSS em fóruns na dark web.

Isso é reforçado pelo fato de algumas das entidades de defesa dos EUA e organizações governamentais do Reino Unido terem sido buscadas simultaneamente por outro agente de acesso conhecido como UNC302.

Os resultados mais uma vez destacam os esforços contínuos dos grupos de estado-nação chineses para violar os aparelhos edge, incorporando rapidamente vulnerabilidades recentemente divulgadas em seu arsenal para conduzir operações de espionagem cibernética em larga escala.

"UNC5174 foi observado tentando vender o acesso a aparelhos de contratantes de defesa dos EUA, entidades governamentais do Reino Unido e instituições na Ásia no final de 2023 após a exploração do CVE-2023-46747 ", disseram os pesquisadores da Mandiant.

"Há semelhanças entre UNC5174 e UNC302, o que sugere que eles operam dentro de uma paisagem de agentes de acesso inicial do MSS.

Essas semelhanças sugerem possíveis explorações compartilhadas e prioridades operacionais entre esses atores da ameaça, embora uma investigação mais aprofundada seja necessária para uma atribuição definitiva."

A divulgação ocorre conforme o MSS alertou que um grupo de hackers estrangeiro não identificado haviam infiltrado "centenas" de organizações empresariais e governamentais chinesas, aproveitando-se de emails de phishing e bugs de segurança conhecidos para violar redes.

Não foi revelado o nome ou a origem do ator da ameaça.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...