Un grupo de amenazas vinculado a China aprovechó las fallas de seguridad en el software Connectwise ScreenConnect y F5 BIG-IP para entregar malware personalizado capaz de ofrecer puertas traseras adicionales en hosts Linux comprometidos como parte de una campaña «agresiva».
Mandiant, propiedad de Google, es seguimiento la actividad bajo su nombre sin categoría UNC5174 (también conocido como Uteus o Uetus), describiéndolo como un «ex miembro de colectivos hacktivistas chinos que desde entonces ha mostrado indicios de actuar como contratista para el Ministerio de Seguridad del Estado (MSS) de China centrado en ejecutar operaciones de acceso».
Se cree que el actor de amenazas orquestó ataques generalizados contra instituciones de investigación y educación del sudeste asiático y de EE. UU., empresas, organizaciones benéficas y organizaciones no gubernamentales (ONG) de Hong Kong y organizaciones gubernamentales de EE. UU. y el Reino Unido entre octubre y noviembre de 2023, y nuevamente en febrero. 2024 usando el error ScreenConnect.
El acceso inicial a los entornos de destino se ve facilitado por la explotación de fallas de seguridad conocidas en Atlassian Confluence (CVE-2023-22518), ConnectWise ScreenConnect (CVE-2024-1709), F5 BIG-IP (CVE-2023-46747), núcleo de Linux (CVE-2022-0185), y Zyxel (CVE-2022-3052).
A un punto de apoyo exitoso le sigue un reconocimiento y escaneo exhaustivos de los sistemas conectados a Internet en busca de vulnerabilidades de seguridad, y UNC5174 también crea cuentas de usuario administrativas para ejecutar acciones maliciosas con privilegios elevados, incluida la eliminación de un descargador ELF basado en C denominado SNOWLIGHT.
SNOWLIGHT está diseñado para descargar la carga útil de la siguiente etapa, una puerta trasera de Golang ofuscada llamada GOREVERSE, desde una URL remota relacionada con SUPERCÁSCARAun marco de comando y control (C2) de código abierto que permite a los atacantes establecer un túnel SSH inverso e iniciar sesiones de shell interactivas para ejecutar código arbitrario.
El actor de amenazas también utiliza una herramienta de túnel basada en Golang conocida como GOHEAVY, que probablemente se emplea para facilitar el movimiento lateral dentro de redes comprometidas, así como otros programas como abajoDirBuster, Metasploit, Sliver y sqlmap.
En un caso inusual detectado por la firma de inteligencia de amenazas, se descubrió que los actores de amenazas aplican mitigaciones para CVE-2023-46747 en un probable intento de evitar que otros adversarios no relacionados utilicen la misma laguna jurídica para obtener acceso.
«UNC5174 (también conocido como Uteus) fue anteriormente miembro de los colectivos hacktivistas chinos ‘Dawn Calvary’ y ha colaborado con ‘Genesis Day»https://thehackernews.com/»Xiaoqiying’ y ‘Teng Snake'», evaluó Mandiant. «Este individuo parece haber abandonado estos grupos a mediados de 2023 y desde entonces se ha centrado en ejecutar operaciones de acceso con la intención de negociar el acceso a entornos comprometidos».
Hay evidencia que sugiere que el actor de la amenaza puede ser un intermediario de acceso inicial y cuenta con el respaldo del MSS, dadas sus supuestas afirmaciones en foros de la web oscura. Esto se ve reforzado por el hecho de que algunas de las entidades gubernamentales de defensa de EE. UU. y del Reino Unido fueron atacadas simultáneamente por otro intermediario de acceso denominado UNC302.
Los hallazgos subrayan una vez más los esfuerzos continuos de los grupos-estado-nación chinos para violar los dispositivos de vanguardia mediante la rápida cooptación de vulnerabilidades recientemente reveladas en su arsenal para llevar a cabo operaciones de ciberespionaje a escala.
«Se ha observado que UNC5174 intenta vender acceso a dispositivos de contratistas de defensa de EE. UU., entidades gubernamentales del Reino Unido e instituciones en Asia a finales de 2023 tras la explotación de CVE-2023-46747», dijeron los investigadores de Mandiant.
«Existen similitudes entre UNC5174 y UNC302, lo que sugiere que operan dentro de un panorama de intermediarios de acceso inicial a MSS. Estas similitudes sugieren posibles vulnerabilidades compartidas y prioridades operativas entre estos actores de amenazas, aunque se requiere más investigación para una atribución definitiva».
La divulgación viene como el MSS. prevenido que un grupo de piratas informáticos extranjero anónimo se había infiltrado en «cientos» de organizaciones empresariales y gubernamentales chinas aprovechando correos electrónicos de phishing y errores de seguridad conocidos para violar las redes. No reveló el nombre ni el origen del autor de la amenaza.