Gli hacker Cinesi di UNC5174 patchano le vulnerabilità di F5 BIG-IP e Atlassian Confluence

Redazione RHC : 23 Marzo 2024 08:24

Mandiant riferisce che gli hacker cinesi di UNC5174 stanno sfruttando le vulnerabilità su prodotti diffusi. Questo gli permette di distribuire malware in grado di installare backdoor aggiuntive su host Linux compromessi.

UNC5174 utilizza un ampio arsenale di vulnerabilità

Gli attacchi di UNC5174 hanno interessato un’ampia gamma di obiettivi. Dagli istituti di ricerca e istruzione nel sud-est asiatico e negli Stati Uniti alle aziende di Hong Kong, enti di beneficenza e organizzazioni non governative. Inoltre hanno colpito alcune agenzie governative negli Stati Uniti e nel Regno Unito tra ottobre e novembre 2023 e febbraio 2024.

Il metodo principale di accesso iniziale è stato l’utilizzo di vulnerabilità note in sistemi come:

• Atlassian Confluence (CVE-2023-22518, con punteggio CVSS: 9,8);
• ConnectWise ScreenConnect (CVE-2024-1709, con punteggio CVSS: 10,0);
• F5 BIG-IP (CVE-2023-46747, con punteggio CVSS: 9,8);
• Kernel Linux (CVE-2022-0185, con punteggio CVSS: 8,4);
• Zyxel (CVE-2022-3052, con punteggio CVSS: 5,4).

Distribuisci i nostri corsi di formazione diventando un nostro Affiliato

Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Prima dell’attacco hanno effettuato un’ampia ricognizione e scansione del sistema per identificare le vulnerabilità della sicurezza. UNC5174 ha inoltre creato account amministratore per eseguire azioni dannose con privilegi elevati.

L’arsenale degli aggressori includeva il loader SNOWLIGHT (basato su C), progettato per fornire il payload della fase successiva. La backdoor GOREVERSE offuscata (in Golang), che consente agli aggressori di stabilire un tunnel SSH inverso e lanciare sessioni di shell interattive per eseguire operazioni arbitrarie codice. Sono stati inoltre scoperti strumenti per il tunneling (GOHEAVY) e per consentire il movimento laterale in reti compromesse (afrog, DirBuster, Metasploit, Sliver e sqlmap).

Correggere le falle per evitare che altri criminali le utilizzino

Uno sviluppo interessante è stato il tentativo degli hacker di adottare misure di mitigazione contro la vulnerabilità CVE-2023-46747 per impedire ad altri aggressori di sfruttare lo stesso bug. La mossa sottolinea la complessità e la natura a più livelli della campagna, dove gli hacker hanno previsto di adottare misure per garantire “l’esclusività” dell’accesso ai sistemi compromessi.

Mandiant ipotizza che l’UNC5174 possa agire come un broker di accesso iniziale ( IAB ) supportato dal Ministero della Sicurezza dello Stato cinese. La conferma è il tentativo di vendere l’accesso ai sistemi degli appaltatori della difesa statunitense, delle agenzie governative del Regno Unito e delle istituzioni asiatiche.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli