Un gruppo minaccioso collegato alla Cina, identificato come UNC5174 (noto anche come Uteus o Uetus), ha sfruttato vulnerabilità nel software Connectwise ScreenConnect e F5 BIG-IP per infiltrarsi in reti di istituti di ricerca ed educazione del Sud-Est Asiatico e degli Stati Uniti, oltre che in organizzazioni governative del Regno Unito e degli USA e in enti non governativi di Hong Kong. Le attività di questo gruppo sono state descritte come parte di una campagna “aggressiva”, volta alla distribuzione di malware personalizzati capaci di inserire ulteriori backdoor sui sistemi Linux compromessi.
Sfruttamento di vulnerabilità e conseguenze
L’accesso iniziale agli ambienti target è stato facilitato dall’exploit di vulnerabilità note in vari software, tra cui Atlassian Confluence, ConnectWise ScreenConnect, F5 BIG-IP, Linux Kernel e Zyxel. Una volta ottenuto l’accesso, UNC5174 ha proceduto con una vasta ricognizione e scansione dei sistemi esposti a Internet per individuare vulnerabilità di sicurezza, creando anche account utente amministrativi per eseguire azioni dannose con privilegi elevati.
Tra gli strumenti utilizzati dal gruppo minaccioso vi sono un downloader ELF basato su C, denominato SNOWLIGHT, e una backdoor Golang obfuscato chiamato GOREVERSE, entrambi progettati per facilitare ulteriori attacchi e mantenere l’accesso ai sistemi compromessi.
Misurazioni di sicurezza adottate dagli attaccanti
In un caso insolito, è stato osservato che gli attaccanti hanno applicato mitigazioni per la vulnerabilità CVE-2023-46747, presumibilmente per prevenire l’accesso da parte di altri avversari non correlati attraverso la stessa falla. Questo suggerisce un livello di sofisticazione e cautela nelle operazioni del gruppo.
Collegamenti e Implicazioni
Mandiant, che ha monitorato queste attività, suggerisce che UNC5174 potrebbe agire come un broker di accesso iniziale e avere il supporto del Ministero della Sicurezza dello Stato cinese (MSS), dato il presunto coinvolgimento di UNC5174 in forum del dark web. La simultanea presenza di target difensivi statunitensi e entità governative britanniche colpiti da un altro broker di accesso, noto come UNC302, suggerisce un paesaggio in cui vari attori operano all’interno di un quadro coordinato di cyber spionaggio supportato dallo stato cinese.
Queste rivelazioni sottolineano gli sforzi continui dei gruppi statali cinesi di violare le appliance di rete sfruttando rapidamente vulnerabilità di recente divulgazione per condurre operazioni di cyber spionaggio su larga scala.
