Redazione RHC : 23 Marzo 2024 08:24
Mandiant riferisce che gli hacker cinesi di UNC5174 stanno sfruttando le vulnerabilità su prodotti diffusi. Questo gli permette di distribuire malware in grado di installare backdoor aggiuntive su host Linux compromessi.
Gli attacchi di UNC5174 hanno interessato un’ampia gamma di obiettivi. Dagli istituti di ricerca e istruzione nel sud-est asiatico e negli Stati Uniti alle aziende di Hong Kong, enti di beneficenza e organizzazioni non governative. Inoltre hanno colpito alcune agenzie governative negli Stati Uniti e nel Regno Unito tra ottobre e novembre 2023 e febbraio 2024.
Il metodo principale di accesso iniziale è stato l’utilizzo di vulnerabilità note in sistemi come:
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Prima dell’attacco hanno effettuato un’ampia ricognizione e scansione del sistema per identificare le vulnerabilità della sicurezza. UNC5174 ha inoltre creato account amministratore per eseguire azioni dannose con privilegi elevati.
L’arsenale degli aggressori includeva il loader SNOWLIGHT (basato su C), progettato per fornire il payload della fase successiva. La backdoor GOREVERSE offuscata (in Golang), che consente agli aggressori di stabilire un tunnel SSH inverso e lanciare sessioni di shell interattive per eseguire operazioni arbitrarie codice. Sono stati inoltre scoperti strumenti per il tunneling (GOHEAVY) e per consentire il movimento laterale in reti compromesse (afrog, DirBuster, Metasploit, Sliver e sqlmap).
Uno sviluppo interessante è stato il tentativo degli hacker di adottare misure di mitigazione contro la vulnerabilità CVE-2023-46747 per impedire ad altri aggressori di sfruttare lo stesso bug. La mossa sottolinea la complessità e la natura a più livelli della campagna, dove gli hacker hanno previsto di adottare misure per garantire “l’esclusività” dell’accesso ai sistemi compromessi.
Mandiant ipotizza che l’UNC5174 possa agire come un broker di accesso iniziale ( IAB ) supportato dal Ministero della Sicurezza dello Stato cinese. La conferma è il tentativo di vendere l’accesso ai sistemi degli appaltatori della difesa statunitense, delle agenzie governative del Regno Unito e delle istituzioni asiatiche.
RedazioneIl 23 luglio 2025, Tesla tenne la sua conference call sui risultati del secondo trimestre. Elon Musk , come di consueto, trasmise a Wall Street il suo contagioso ottimismo. Parlando di Dojo, il superc...
Microsoft rimuoverà PowerShell 2.0 da Windows a partire da agosto, anni dopo averne annunciato la dismissione e averlo mantenuto come funzionalità opzionale. Il processore dei comandi vecchi...
Sviluppare agenti di intelligenza artificiale in grado di individuare vulnerabilità in sistemi complessi è ancora un compito impegnativo che richiede molto lavoro manuale. Tuttavia, tali age...
L’azienda cinese Kaiwa Technology, con sede a Guangzhou, ha annunciato l’intenzione di creare il primo “utero robotico” al mondo entro il 2026: una macchina umanoide con un...
Uno strumento Microsoft Web Deploy presenta una falla critica di sicurezza, potenzialmente sfruttata da aggressori autenticati per eseguire codice sui sistemi coinvolti. Si tratta del bug monitorato c...
