Google 旗下的安全公司 Mandiant 在调查中发现,两起不同事件中利用的工具组合是来自中国的威胁行为者 UNC5174 所独有的。Mandiant 评估称,与中国相关的威胁集群利用 Connectwise ScreenConnect 和 F5 BIG-IP 软件中的安全漏洞来传播自定义恶意软件,该恶意软件能够在受感染的 Linux 主机上提供额外的后门,作为“攻击性”活动的一部分。
谷歌旗下的 Mandiant 正在以其未分类的名称UNC5174 (又名 Uteus 或 Uetus)追踪该活动,将其描述为“中国黑客组织的前成员,此后有迹象表明其充当中国国家安全部 (MSS) 的承包商”专注于执行访问操作。”
据信,该威胁行为者在 2023 年 10 月至 11 月期间以及 2 月再次策划了针对东南亚和美国研究和教育机构、香港企业、慈善机构和非政府组织 (NGO) 以及美国和英国政府组织的广泛攻击2024 年使用 ScreenConnect 错误。
利用 Atlassian Confluence ( CVE-2023-22518 )、ConnectWise ScreenConnect ( CVE-2024-1709 )、F5 BIG-IP ( CVE-2023-46747 )、Linux Kernel ( CVE-2022-0185)和合勤科技(CVE-2022-3052)。
成功立足后,会对面向互联网的系统进行广泛的侦察和扫描以查找安全漏洞,UNC5174 还创建管理用户帐户,以提升权限执行恶意操作,包括删除名为 SNOWLIGHT 的基于 C 的 ELF 下载程序。
SNOWLIGHT 旨在从远程 URL 下载下一阶段的有效负载,即一个名为 GOREVERSE 的模糊 Golang 后门,并与SUPERSHELL进行通信,SUPERSHELL 是一个开源命令和控制 (C2) 框架,允许攻击者建立反向 SSH 隧道,并与 SUPERSHELL 进行通信。启动交互式 shell 会话来执行任意代码。
威胁行为者还使用基于 Golang 的隧道工具 GOHEAVY,该工具可能用于促进受感染网络内的横向移动,以及afrog、DirBuster、Metasploit、Sliver 和 sqlmap 等其他程序。
Connectwise、F5 软件漏洞
在威胁情报公司发现的一个不寻常的实例中,威胁行为者被发现应用了 CVE-2023-46747 的缓解措施,可能是试图阻止其他不相关的对手利用同一漏洞来获取访问权限。
Mandiant 评估道:“UNC5174(又名 Uteus)曾是中国黑客组织‘Dawn Calvary’的成员,并曾与‘Genesis Day’/‘Xiaoqiying’和‘Teng Snake’合作。” “此人似乎已于 2023 年中期离开这些组织,此后一直专注于执行访问操作,目的是代理对受感染环境的访问。”
有证据表明,威胁行为者可能是初始访问经纪人,并且得到了 MSS 的支持,因为他们在暗网论坛上声称声称。一些美国国防和英国政府实体同时成为另一个名为UNC302的访问经纪人的目标,这一事实证实了这一点。
这些调查结果再次凸显了中国民族国家组织继续努力通过迅速利用零日漏洞和最近披露的漏洞来破坏边缘设备,以大规模开展网络间谍活动。
Mandiant 研究人员表示:“据观察,在利用 CVE-2023-46747 后,UNC5174 试图在 2023 年末出售对美国国防承包商设备、英国政府实体和亚洲机构的访问权限。”
“UNC5174 和 UNC302 之间存在相似之处,这表明它们在 MSS 初始访问代理环境中运行。这些相似之处表明这些威胁行为者之间可能存在共享漏洞和操作优先级,尽管需要进一步调查以确定最终归属。”
此次披露之际,MSS警告称,一个未透露姓名的外国黑客组织利用网络钓鱼电子邮件和已知的安全漏洞破坏网络,渗透到“数百个”中国企业和政府组织中。它没有透露威胁行为者的名字或出身。