Gli hacker Cinesi di UNC5174 patchano le vulnerabilità di F5 BIG-IP e Atlassian Confluence

Mandiant riferisce che gli hacker cinesi di UNC5174 stanno sfruttando le vulnerabilità su prodotti diffusi. Questo gli permette di distribuire malware in grado di installare backdoor aggiuntive su host Linux compromessi.

UNC5174 utilizza un ampio arsenale di vulnerabilità

Gli attacchi di UNC5174 hanno interessato un’ampia gamma di obiettivi. Dagli istituti di ricerca e istruzione nel sud-est asiatico e negli Stati Uniti alle aziende di Hong Kong, enti di beneficenza e organizzazioni non governative. Inoltre hanno colpito alcune agenzie governative negli Stati Uniti e nel Regno Unito tra ottobre e novembre 2023 e febbraio 2024.

Il metodo principale di accesso iniziale è stato l’utilizzo di vulnerabilità note in sistemi come:

• Atlassian Confluence (CVE-2023-22518, con punteggio CVSS: 9,8);
• ConnectWise ScreenConnect (CVE-2024-1709, con punteggio CVSS: 10,0);
• F5 BIG-IP (CVE-2023-46747, con punteggio CVSS: 9,8);
• Kernel Linux (CVE-2022-0185, con punteggio CVSS: 8,4);
• Zyxel (CVE-2022-3052, con punteggio CVSS: 5,4).

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Prima dell’attacco hanno effettuato un’ampia ricognizione e scansione del sistema per identificare le vulnerabilità della sicurezza. UNC5174 ha inoltre creato account amministratore per eseguire azioni dannose con privilegi elevati.

L’arsenale degli aggressori includeva il loader SNOWLIGHT (basato su C), progettato per fornire il payload della fase successiva. La backdoor GOREVERSE offuscata (in Golang), che consente agli aggressori di stabilire un tunnel SSH inverso e lanciare sessioni di shell interattive per eseguire operazioni arbitrarie codice. Sono stati inoltre scoperti strumenti per il tunneling (GOHEAVY) e per consentire il movimento laterale in reti compromesse (afrog, DirBuster, Metasploit, Sliver e sqlmap).

Correggere le falle per evitare che altri criminali le utilizzino

Uno sviluppo interessante è stato il tentativo degli hacker di adottare misure di mitigazione contro la vulnerabilità CVE-2023-46747 per impedire ad altri aggressori di sfruttare lo stesso bug. La mossa sottolinea la complessità e la natura a più livelli della campagna, dove gli hacker hanno previsto di adottare misure per garantire “l’esclusività” dell’accesso ai sistemi compromessi.

Mandiant ipotizza che l’UNC5174 possa agire come un broker di accesso iniziale ( IAB ) supportato dal Ministero della Sicurezza dello Stato cinese. La conferma è il tentativo di vendere l’accesso ai sistemi degli appaltatori della difesa statunitense, delle agenzie governative del Regno Unito e delle istituzioni asiatiche.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.