Linux под прицелом: китайские хакеры UNC5174 атакуют системы по всему миру
Большая конкуренция вынуждает эксплуатировать сразу 5 ошибок для получения доступа к корпоративным сетям.
Специалисты Mandiant сообщают, что китайские хакеры UNC5174 эксплуатируют уязвимости в популярных продуктах для распространения вредоносного ПО, способного устанавливать дополнительные бэкдоры на скомпрометированных хостах Linux.
Атаки UNC5174 охватили широкий спектр целей: от исследовательских и образовательных учреждений Юго-Восточной Азии и США до бизнеса в Гонконге, благотворительных и неправительственных организаций, а также госучреждений США и Великобритании в период с октября по ноябрь 2023 года и в феврале 2024 года.
Основным методом первоначального доступа стало использование известных уязвимостей в таких системах, как:
- Atlassian Confluence ( CVE-2023-22518, оценка CVSS: 9.8);
- ConnectWise ScreenConnect ( CVE-2024-1709, оценка CVSS: 10.0);
- F5 BIG-IP ( CVE-2023-46747, оценка CVSS: 9.8);
- Linux Kernel ( CVE-2022-0185, оценка CVSS: 8.4);
- Zyxel ( CVE-2022-3052, оценка CVSS: 5.4).
После успешного проникновения следовали обширные действия по разведке и сканированию систем с целью выявления уязвимостей безопасности. UNC5174 также создавала учетные записи администраторов для выполнения вредоносных действий с повышенными привилегиями.
В арсенале злоумышленников оказался загрузчик SNOWLIGHT (на основе C), который предназначен для доставки полезной нагрузки следующего этапа — обфусцированного бэкдора GOREVERSE (на Golang), который позволяет злоумышленникам устанавливать обратный SSH-туннель и запускать сеансы интерактивной оболочки для выполнения произвольного кода. Также были обнаружены инструменты для туннелирования (GOHEAVY) и обеспечения бокового перемещения в скомпрометированных сетях (afrog, DirBuster, Metasploit, Sliver и sqlmap)
Интересным моментом стала попытка хакеров принять меры по смягчению последствий уязвимости CVE-2023-46747, чтобы предотвратить использование этой же лазейки другими злоумышленниками. Такой шаг подчеркивает сложность и многоуровневость кампании, где даже хакеры вынуждены предпринимать шаги для обеспечения «эксклюзивности» доступа к скомпрометированным системам.
Mandiant выдвигает предположение, что UNC5174 может действовать как брокер начального доступа (Initial Access Broker, IAB), поддерживаемый Министерством госбезопасности Китая. Подтверждением является попытка продажи доступа к системам оборонных подрядчиков США, правительственным учреждениям Великобритании и азиатским институтам.
Ваш провайдер знает о вас больше, чем ваша девушка?