В октябре 2023 года эксперты по кибербезопасности обнаружили атаку на пользовательский интерфейс F5 BIG-IP Traffic Management, связанную с эксплуатацией уязвимости CVE-2023-46747. Злоумышленники смогли добиться неконтролируемого выполнения команд на уязвимых устройствах, что поставило под угрозу безопасность многих организаций. Позже, в феврале 2024 года, была выявлена еще одна масштабная атака, на этот раз с использованием уязвимости CVE-2024-1709 в программном обеспечении ConnectWise ScreenConnect. Обе атаки, как выяснилось, связаны с деятельностью хакерской группы UNC5174, предположительно работающей в интересах Министерства государственной безопасности Китая (MSS).
Описание
Группа UNC5174 действует как киберподрядчик, специализируясь на проникновении в сети американских оборонных подрядчиков, правительственных учреждений, исследовательских центров и неправительственных организаций. По данным аналитиков Mandiant, хакеры не только получают несанкционированный доступ, но и пытаются продавать его третьим лицам, что делает их деятельность особенно опасной. Помимо эксплуатации уязвимостей в F5 BIG-IP и ConnectWise ScreenConnect, UNC5174 использовала другие критические бреши, включая уязвимость в Atlassian Confluence, эксплойт для ядра Linux и уязвимость в брандмауэрах Zyxel.
Эксперты отмечают, что UNC5174 действует методично, выбирая цели, которые могут предоставить доступ к стратегически важной информации. В частности, атаки на оборонные подрядчики могут быть направлены на кражу данных о передовых технологиях и военных разработках США. Подобные операции не только подрывают национальную безопасность, но и создают угрозу для глобальной стабильности, поскольку утечка данных может быть использована для шпионажа или промышленного саботажа.
Mandiant рекомендует организациям, использующим уязвимое программное обеспечение, немедленно принять меры для устранения брешей. В первую очередь необходимо обновить системы, устранив известные уязвимости, а также провести тщательную проверку сетей на предмет компрометации. Особое внимание следует уделить журналам безопасности, поиску необычной активности и подозрительных подключений. Кроме того, компании должны усилить мониторинг сетевого трафика и внедрить многофакторную аутентификацию для критически важных сервисов.
Кибербезопасность становится все более важной в условиях растущей цифровизации и глобализации угроз. Атаки, подобные тем, что проводит UNC5174, демонстрируют, что даже крупные корпорации и государственные структуры остаются уязвимыми перед изощренными методами хакеров. Властям и частному сектору необходимо активнее сотрудничать в вопросах защиты данных, обмениваться информацией об угрозах и инвестировать в современные технологии киберзащиты. Только комплексный подход позволит минимизировать риски и предотвратить катастрофические последствия кибератак на критическую инфраструктуру.
Пока UNC5174 продолжает свою деятельность, международное сообщество должно усилить давление на страны, поддерживающие хакерские группы. В противном случае подобные атаки станут лишь более масштабными и изощренными, угрожая не только бизнесу, но и глобальной безопасности в целом.
Индикаторы компрометации
IPv4
- 118.140.151.242
- 172.245.68.110
- 61.239.68.73
URLs
- http://172.245.68.110:8888
MD5
- 0951109dd1be0d84a33d52c135ba9c97
- 0ba435460fb7622344eec28063274b8a
- 9c3bf506dd19c08c0ed3af9c1708a770
- a78bf3d16349eba86719539ee8ef562d
- c867881c56698f938b4e8edafe76a09b
- df4603548b10211f0aa77d0e9a172438
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 | rule M_Backdoor_GOREVERSE_2 { meta: author = "Mandiant" description = "This rule is designed to detect events related to goreverse. GOREVERSE is a publicly available reverse shell" md5 = "5c175ea3664279d6c0c2609844de6949" platforms = "Windows,Linux,MacOS" malware_family = "GOREVERSE" strings: $cc_main_fork_amd64 = { 41 81 39 74 72 75 65 75 ?? 48 8B [5] 48 8B [5] 48 8B [5] 4C 8B [5] 48 8B [5] 48 8B [5-10] E8 [4] 48 8B } $cc_print_help_amd64 = { 48 8D 15 [4] 48 89 94 24 [4-16] 48 8B 1D [4] 48 8D 05 [4-24] BF 03 00 00 00 48 89 FE [0-12] E8 } $cc_rssh = "rssh" fullword $cc_validate_dest_len = { 48 83 3D [4] 00 [1-24] 49 83 FC 01 [1-24] 49 C1 E4 05 [1-64] 83 3D [4] 00 } $str1 = "--[foreground|fingerprint|proxy|process_name] -d|--destination <server_address>" $str2 = "-d or --destination Server connect back address (can be baked in)" $str3 = "--foreground Causes the client to run without forking to background" $str4 = "--fingerprint Server public key SHA256 hex fingerprint for auth" $str5 = "--proxy Location of HTTP connect proxy to use" $str6 = "--process_name Process name shown in tasklist/process list" condition: ( ((uint32(0) == 0xcafebabe) or (uint32(0) == 0xfeedface) or (uint32(0) == 0xfeedfacf) or (uint32(0) == 0xbebafeca) or (uint32(0) == 0xcefaedfe) or (uint32(0) == 0xcffaedfe)) or (uint16(0) == 0x5a4d and uint32(uint32(0x3C)) == 0x00004550) or (uint32(0) == 0x464c457f)) and (all of ($str*) or all of ($cc_*)) } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 | rule M_APT_Downloader_SNOWLIGHT_1 { meta: author = "Mandiant" description = "This rule is designed to detect the SNOWLIGHT code family" md5 = "0951109dd1be0d84a33d52c135ba9c97" platforms = "Linux" malware_family = "SNOWLIGHT" strings: $xor99 = { 80 31 99 48 FF C1 89 CE 29 EE 39 C6 7C F2 48 63 D2 48 89 EE 44 89 E7 } $memfdcreate = { BA 01 00 00 00 BE 3B 0B 40 00 BF 3F 01 00 00 E8 8C FE FF FF } condition: uint32(0) == 0x464c457f and all of them } |
