Een aan China gekoppeld dreigingscluster maakte gebruik van beveiligingsfouten in Connectwise ScreenConnect- en F5 BIG-IP-software om aangepaste malware te leveren die in staat was om extra achterdeurtjes te leveren op gecompromitteerde Linux-hosts als onderdeel van een “agressieve” campagne.
Mandiant, eigendom van Google, volgt de activiteit onder zijn niet-gecategoriseerde naam UNC5174 (ook bekend als Uteus of Uetus), en beschrijft het als een “voormalig lid van Chinese hacktivistische collectieven die sindsdien aanwijzingen hebben getoond dat hij optreedt als contractant voor het Chinese Ministerie van Staatsveiligheid (MSS), gericht op het uitvoeren van toegangsoperaties.”
Er wordt aangenomen dat de bedreigingsacteur tussen oktober en november 2023, en opnieuw in februari, wijdverspreide aanvallen heeft georkestreerd tegen Zuidoost-Aziatische en Amerikaanse onderzoeks- en onderwijsinstellingen, bedrijven uit Hong Kong, liefdadigheidsinstellingen en niet-gouvernementele organisaties (NGO's) en Amerikaanse en Britse overheidsorganisaties. 2024 met behulp van de ScreenConnect-bug.
De initiële toegang tot doelomgevingen wordt vergemakkelijkt door misbruik van bekende beveiligingsfouten in Atlassian Confluence (CVE-2023-22518), ConnectWise ScreenConnect (CVE-2024-1709), F5 BIG-IP (CVE-2023-46747), Linux Kernel ( CVE-2022-0185) en Zyxel (CVE-2022-3052).
Een succesvolle voet aan de grond wordt gevolgd door uitgebreide verkenning en scanning van internetgerichte systemen op beveiligingsproblemen, waarbij UNC5174 ook administratieve gebruikersaccounts aanmaakt om kwaadaardige acties met verhoogde rechten uit te voeren, waaronder het laten vallen van een op C gebaseerde ELF-downloader genaamd SNOWLIGHT.
SNOWLIGHT is ontworpen om de payload van de volgende fase, een versluierde Golang-achterdeur genaamd GOREVERSE, te downloaden van een externe URL die gerelateerd is aan SUPERSHELL, een open-source command-and-control (C2) raamwerk waarmee aanvallers een omgekeerde SSH-tunnel kunnen opzetten en start interactieve shell-sessies om willekeurige code uit te voeren.
Ook door de bedreigingsactoren wordt een op Golang gebaseerd tunnelprogramma gebruikt, bekend als GOHEAVY, dat waarschijnlijk wordt gebruikt om zijwaartse beweging binnen gecompromitteerde netwerken te vergemakkelijken, evenals andere programma's zoals afrog, DirBuster, Metasploit, Sliver en sqlmap.
In een ongewoon geval dat door het dreigingsinformatiebureau werd opgemerkt, bleek dat de dreigingsactoren mitigaties voor CVE-2023-46747 toepasten in een waarschijnlijke poging om te voorkomen dat andere niet-verwante tegenstanders dezelfde maas in de wet zouden bewapenen om toegang te verkrijgen.
“UNC5174 (ook bekend als Uteus) was eerder lid van de Chinese hacktivistische collectieven 'Dawn Calvary' en heeft samengewerkt met 'Genesis Day'https://thehackernews.com/'Xiaoqiying' en 'Teng Snake'', oordeelde Mandiant. “Deze persoon lijkt deze groepen medio 2023 te hebben verlaten en heeft zich sindsdien geconcentreerd op het uitvoeren van toegangsoperaties met de bedoeling de toegang tot gecompromitteerde omgevingen te bemiddelen.”
Er zijn aanwijzingen dat de bedreigingsactoren mogelijk een initiële toegangsmakelaar zijn en de steun hebben van de MSS, gezien hun vermeende beweringen op dark web-forums. Dit wordt versterkt door het feit dat sommige Amerikaanse defensie- en Britse overheidsinstanties tegelijkertijd het doelwit waren van een andere toegangsmakelaar, UNC302 genaamd.
De bevindingen onderstrepen eens te meer de voortdurende inspanningen van Chinese natiestaten om edge-apparaten te doorbreken door recentelijk onthulde kwetsbaarheden snel in hun arsenaal op te nemen om cyberspionageoperaties op grote schaal uit te voeren.
“Er is waargenomen dat UNC5174 eind 2023 probeerde toegang te verkopen tot Amerikaanse defensie-apparatuur, Britse overheidsinstanties en instellingen in Azië na de exploitatie van CVE-2023-46747”, aldus Mandiant-onderzoekers.
“Er zijn overeenkomsten tussen UNC5174 en UNC302, wat erop wijst dat ze opereren binnen een MSS-landschap van initiële toegangsmakelaars. Deze overeenkomsten suggereren mogelijke gedeelde exploits en operationele prioriteiten tussen deze bedreigingsactoren, hoewel verder onderzoek nodig is voor definitieve attributie.”
De onthulling komt op het moment dat de MSS waarschuwde dat een niet bij naam genoemde buitenlandse hackgroep ‘honderden’ Chinese zaken- en overheidsorganisaties had geïnfiltreerd door gebruik te maken van phishing-e-mails en bekende beveiligingsbugs om netwerken te doorbreken. De naam of afkomst van de bedreigingsacteur werd niet onthuld.
