Gli hacker Cinesi di UNC5174 patchano le vulnerabilità di F5 BIG-IP e Atlassian Confluence

Redazione RHC : 23 Marzo 2024 08:24

Mandiant riferisce che gli hacker cinesi di UNC5174 stanno sfruttando le vulnerabilità su prodotti diffusi. Questo gli permette di distribuire malware in grado di installare backdoor aggiuntive su host Linux compromessi.

UNC5174 utilizza un ampio arsenale di vulnerabilità

Gli attacchi di UNC5174 hanno interessato un’ampia gamma di obiettivi. Dagli istituti di ricerca e istruzione nel sud-est asiatico e negli Stati Uniti alle aziende di Hong Kong, enti di beneficenza e organizzazioni non governative. Inoltre hanno colpito alcune agenzie governative negli Stati Uniti e nel Regno Unito tra ottobre e novembre 2023 e febbraio 2024.

Il metodo principale di accesso iniziale è stato l’utilizzo di vulnerabilità note in sistemi come:

• Atlassian Confluence (CVE-2023-22518, con punteggio CVSS: 9,8);
• ConnectWise ScreenConnect (CVE-2024-1709, con punteggio CVSS: 10,0);
• F5 BIG-IP (CVE-2023-46747, con punteggio CVSS: 9,8);
• Kernel Linux (CVE-2022-0185, con punteggio CVSS: 8,4);
• Zyxel (CVE-2022-3052, con punteggio CVSS: 5,4).

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Prima dell’attacco hanno effettuato un’ampia ricognizione e scansione del sistema per identificare le vulnerabilità della sicurezza. UNC5174 ha inoltre creato account amministratore per eseguire azioni dannose con privilegi elevati.

L’arsenale degli aggressori includeva il loader SNOWLIGHT (basato su C), progettato per fornire il payload della fase successiva. La backdoor GOREVERSE offuscata (in Golang), che consente agli aggressori di stabilire un tunnel SSH inverso e lanciare sessioni di shell interattive per eseguire operazioni arbitrarie codice. Sono stati inoltre scoperti strumenti per il tunneling (GOHEAVY) e per consentire il movimento laterale in reti compromesse (afrog, DirBuster, Metasploit, Sliver e sqlmap).

Correggere le falle per evitare che altri criminali le utilizzino

Uno sviluppo interessante è stato il tentativo degli hacker di adottare misure di mitigazione contro la vulnerabilità CVE-2023-46747 per impedire ad altri aggressori di sfruttare lo stesso bug. La mossa sottolinea la complessità e la natura a più livelli della campagna, dove gli hacker hanno previsto di adottare misure per garantire “l’esclusività” dell’accesso ai sistemi compromessi.

Mandiant ipotizza che l’UNC5174 possa agire come un broker di accesso iniziale ( IAB ) supportato dal Ministero della Sicurezza dello Stato cinese. La conferma è il tentativo di vendere l’accesso ai sistemi degli appaltatori della difesa statunitense, delle agenzie governative del Regno Unito e delle istituzioni asiatiche.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli