- 13,851
- 20
- 8 Ноя 2022
Большая конкуренция вынуждает эксплуатировать сразу 5 ошибок для получения доступа к корпоративным сетям.
Специалисты Mandiant Для просмотра ссылки Войдиили Зарегистрируйся что китайские хакеры UNC5174 эксплуатируют уязвимости в популярных продуктах для распространения вредоносного ПО, способного устанавливать дополнительные бэкдоры на скомпрометированных хостах Linux.
Атаки UNC5174 охватили широкий спектр целей: от исследовательских и образовательных учреждений Юго-Восточной Азии и США до бизнеса в Гонконге, благотворительных и неправительственных организаций, а также госучреждений США и Великобритании в период с октября по ноябрь 2023 года и в феврале 2024 года.
Основным методом первоначального доступа стало использование известных уязвимостей в таких системах, как:
После успешного проникновения следовали обширные действия по разведке и сканированию систем с целью выявления уязвимостей безопасности. UNC5174 также создавала учетные записи администраторов для выполнения вредоносных действий с повышенными привилегиями.
В арсенале злоумышленников оказался загрузчик SNOWLIGHT (на основе C), который предназначен для доставки полезной нагрузки следующего этапа — обфусцированного бэкдора GOREVERSE (на Golang), который позволяет злоумышленникам устанавливать обратный SSH-туннель и запускать сеансы интерактивной оболочки для выполнения произвольного кода. Также были обнаружены инструменты для туннелирования (GOHEAVY) и обеспечения бокового перемещения в скомпрометированных сетях (afrog, DirBuster, Metasploit, Sliver и sqlmap)
Интересным моментом стала попытка хакеров принять меры по смягчению последствий уязвимости CVE-2023-46747, чтобы предотвратить использование этой же лазейки другими злоумышленниками. Такой шаг подчеркивает сложность и многоуровневость кампании, где даже хакеры вынуждены предпринимать шаги для обеспечения «эксклюзивности» доступа к скомпрометированным системам.
Mandiant выдвигает предположение, что UNC5174 может действовать как брокер начального доступа (Initial Access Broker, IAB ), поддерживаемый Министерством госбезопасности Китая. Подтверждением является попытка продажи доступа к системам оборонных подрядчиков США, правительственным учреждениям Великобритании и азиатским институтам.
Специалисты Mandiant Для просмотра ссылки Войди
Атаки UNC5174 охватили широкий спектр целей: от исследовательских и образовательных учреждений Юго-Восточной Азии и США до бизнеса в Гонконге, благотворительных и неправительственных организаций, а также госучреждений США и Великобритании в период с октября по ноябрь 2023 года и в феврале 2024 года.
Основным методом первоначального доступа стало использование известных уязвимостей в таких системах, как:
- Atlassian Confluence ( Для просмотра ссылки Войди
или Зарегистрируйся оценка CVSS: 9.8); - ConnectWise ScreenConnect ( Для просмотра ссылки Войди
или Зарегистрируйся оценка CVSS: 10.0); - F5 BIG-IP ( Для просмотра ссылки Войди
или Зарегистрируйся оценка CVSS: 9.8); - Linux Kernel ( Для просмотра ссылки Войди
или Зарегистрируйся оценка CVSS: 8.4); - Zyxel ( Для просмотра ссылки Войди
или Зарегистрируйся оценка CVSS: 5.4).
После успешного проникновения следовали обширные действия по разведке и сканированию систем с целью выявления уязвимостей безопасности. UNC5174 также создавала учетные записи администраторов для выполнения вредоносных действий с повышенными привилегиями.
В арсенале злоумышленников оказался загрузчик SNOWLIGHT (на основе C), который предназначен для доставки полезной нагрузки следующего этапа — обфусцированного бэкдора GOREVERSE (на Golang), который позволяет злоумышленникам устанавливать обратный SSH-туннель и запускать сеансы интерактивной оболочки для выполнения произвольного кода. Также были обнаружены инструменты для туннелирования (GOHEAVY) и обеспечения бокового перемещения в скомпрометированных сетях (afrog, DirBuster, Metasploit, Sliver и sqlmap)
Интересным моментом стала попытка хакеров принять меры по смягчению последствий уязвимости CVE-2023-46747, чтобы предотвратить использование этой же лазейки другими злоумышленниками. Такой шаг подчеркивает сложность и многоуровневость кампании, где даже хакеры вынуждены предпринимать шаги для обеспечения «эксклюзивности» доступа к скомпрометированным системам.
Mandiant выдвигает предположение, что UNC5174 может действовать как брокер начального доступа (Initial Access Broker, IAB ), поддерживаемый Министерством госбезопасности Китая. Подтверждением является попытка продажи доступа к системам оборонных подрядчиков США, правительственным учреждениям Великобритании и азиатским институтам.
- Источник новости
- www.securitylab.ru
