Um cluster de ameaças ligado à China aproveitou falhas de segurança nos softwares Connectwise ScreenConnect e F5 BIG-IP para fornecer malware personalizado capaz de fornecer backdoors adicionais em hosts Linux comprometidos como parte de uma campanha “agressiva”.
A Mandiant, de propriedade do Google, está rastreando a atividade sob seu nome não categorizado UNC5174 (também conhecido como Uteus ou Uetus), descrevendo-o como um “ex-membro de coletivos hacktivistas chineses que desde então mostrou indicações de atuar como contratado do Ministério de Segurança do Estado (MSS) da China, focado na execução de operações de acesso”.
Acredita-se que o ator da ameaça tenha orquestrado ataques generalizados contra instituições de pesquisa e educação do Sudeste Asiático e dos EUA, empresas, instituições de caridade e organizações não governamentais (ONGs) de Hong Kong, e organizações governamentais dos EUA e do Reino Unido entre outubro e novembro de 2023, e novamente em fevereiro. 2024 usando o bug ScreenConnect.
O acesso inicial aos ambientes de destino é facilitado pela exploração de falhas de segurança conhecidas no Atlassian Confluence (CVE-2023-22518), ConnectWise ScreenConnect (CVE-2024-1709), F5 BIG-IP (CVE-2023-46747), Linux Kernel ( CVE-2022-0185) e Zyxel (CVE-2022-3052).
Uma posição bem-sucedida é seguida por extenso reconhecimento e varredura de sistemas voltados para a Web em busca de vulnerabilidades de segurança, com UNC5174 também criando contas de usuários administrativos para executar ações maliciosas com privilégios elevados, incluindo o descarte de um downloader ELF baseado em C chamado SNOWLIGHT.
O SNOWLIGHT foi projetado para baixar a carga útil do próximo estágio, um backdoor Golang ofuscado chamado GOREVERSE, de uma URL remota relacionada ao SUPERSHELL, uma estrutura de comando e controle (C2) de código aberto que permite que invasores estabeleçam um túnel SSH reverso e lançar sessões de shell interativas para executar código arbitrário.
Também utilizada pelo agente da ameaça está uma ferramenta de tunelamento baseada em Golang conhecida como GOHEAVY, que provavelmente é empregada para facilitar o movimento lateral dentro de redes comprometidas, bem como outros programas como afrog, DirBuster, Metasploit, Sliver e sqlmap.
Em um caso incomum detectado pela empresa de inteligência de ameaças, descobriu-se que os atores da ameaça aplicaram mitigações para CVE-2023-46747 em uma provável tentativa de evitar que outros adversários não relacionados usassem a mesma brecha como arma para obter acesso.
“UNC5174 (também conhecido como Uteus) foi anteriormente membro dos coletivos hacktivistas chineses 'Daybreak Calvary' e colaborou com 'Genesis Day” https://thehackernews.com/”Xiaoqiying' e 'Teng Snake'”, avaliou Mandiant. “Este indivíduo parece ter deixado esses grupos em meados de 2023 e desde então tem se concentrado na execução de operações de acesso com a intenção de intermediar o acesso a ambientes comprometidos.”
Há evidências que sugerem que o autor da ameaça pode ser um corretor de acesso inicial e tem o apoio do MSS, dadas as suas alegadas alegações em fóruns da darkish net. Isto é reforçado pelo facto de algumas das entidades de defesa dos EUA e do governo do Reino Unido terem sido simultaneamente alvo de outro corretor de acesso referido como UNC302.
As descobertas sublinham mais uma vez os esforços contínuos dos grupos estatais chineses para violar dispositivos de ponta, cooptando rapidamente vulnerabilidades recentemente divulgadas para o seu arsenal, a fim de conduzir operações de espionagem cibernética em grande escala.
“O UNC5174 foi observado tentando vender acesso a dispositivos de empreiteiros de defesa dos EUA, entidades governamentais do Reino Unido e instituições na Ásia no remaining de 2023, após a exploração do CVE-2023-46747”, disseram os pesquisadores da Mandiant.
“Existem semelhanças entre UNC5174 e UNC302, o que sugere que eles operam dentro de um cenário de corretor de acesso inicial MSS. Essas semelhanças sugerem possíveis explorações compartilhadas e prioridades operacionais entre esses atores de ameaças, embora sejam necessárias investigações adicionais para a atribuição definitiva.”
A divulgação ocorre no momento em que o MSS alerta que um grupo de hackers estrangeiro não identificado se infiltrou em “centenas” de empresas chinesas e organizações governamentais, aproveitando e-mails de phishing e bugs de segurança conhecidos para violar redes. Não revelou o nome ou a origem do autor da ameaça.
