Gli hacker Cinesi di UNC5174 patchano le vulnerabilità di F5 BIG-IP e Atlassian Confluence

Redazione RHC : 23 Marzo 2024 08:24

Mandiant riferisce che gli hacker cinesi di UNC5174 stanno sfruttando le vulnerabilità su prodotti diffusi. Questo gli permette di distribuire malware in grado di installare backdoor aggiuntive su host Linux compromessi.

UNC5174 utilizza un ampio arsenale di vulnerabilità

Gli attacchi di UNC5174 hanno interessato un’ampia gamma di obiettivi. Dagli istituti di ricerca e istruzione nel sud-est asiatico e negli Stati Uniti alle aziende di Hong Kong, enti di beneficenza e organizzazioni non governative. Inoltre hanno colpito alcune agenzie governative negli Stati Uniti e nel Regno Unito tra ottobre e novembre 2023 e febbraio 2024.

Il metodo principale di accesso iniziale è stato l’utilizzo di vulnerabilità note in sistemi come:

• Atlassian Confluence (CVE-2023-22518, con punteggio CVSS: 9,8);
• ConnectWise ScreenConnect (CVE-2024-1709, con punteggio CVSS: 10,0);
• F5 BIG-IP (CVE-2023-46747, con punteggio CVSS: 9,8);
• Kernel Linux (CVE-2022-0185, con punteggio CVSS: 8,4);
• Zyxel (CVE-2022-3052, con punteggio CVSS: 5,4).

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Prima dell’attacco hanno effettuato un’ampia ricognizione e scansione del sistema per identificare le vulnerabilità della sicurezza. UNC5174 ha inoltre creato account amministratore per eseguire azioni dannose con privilegi elevati.

L’arsenale degli aggressori includeva il loader SNOWLIGHT (basato su C), progettato per fornire il payload della fase successiva. La backdoor GOREVERSE offuscata (in Golang), che consente agli aggressori di stabilire un tunnel SSH inverso e lanciare sessioni di shell interattive per eseguire operazioni arbitrarie codice. Sono stati inoltre scoperti strumenti per il tunneling (GOHEAVY) e per consentire il movimento laterale in reti compromesse (afrog, DirBuster, Metasploit, Sliver e sqlmap).

Correggere le falle per evitare che altri criminali le utilizzino

Uno sviluppo interessante è stato il tentativo degli hacker di adottare misure di mitigazione contro la vulnerabilità CVE-2023-46747 per impedire ad altri aggressori di sfruttare lo stesso bug. La mossa sottolinea la complessità e la natura a più livelli della campagna, dove gli hacker hanno previsto di adottare misure per garantire “l’esclusività” dell’accesso ai sistemi compromessi.

Mandiant ipotizza che l’UNC5174 possa agire come un broker di accesso iniziale ( IAB ) supportato dal Ministero della Sicurezza dello Stato cinese. La conferma è il tentativo di vendere l’accesso ai sistemi degli appaltatori della difesa statunitense, delle agenzie governative del Regno Unito e delle istituzioni asiatiche.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli