В результате расследования вторжения в октябре 2023 года было обнаружено, что пользовательский интерфейс F5 BIG-IP Traffic Management подвергся атаке новой эксплуатации CVE-2023-46747. Это привело к неконтролируемому выполнению команд на уязвимых устройствах. В феврале 2024 года была обнаружена атака с использованием эксплуатации CVE-2024-1709 в Connectwise ScreenConnect.
Агент, известный как UNC5174 и связанный с Китайской Народной Республикой (КНР), предположительно работает в качестве подрядчика Министерства государственной безопасности Китая (MSS). UNC5174 осуществляет операции доступа и пытается продать доступ к американским оборонным подрядчикам и правительственным структурам. UNC5174 также атаковал исследовательские учреждения, предприятия и неправительственные организации. В ходе расследования были выявлены и другие уязвимости, которые использовал UNC5174, такие как уязвимость Atlassian Confluence, эксплойт для ядра Linux и уязвимость в Zyxel Firewall. Мандиант рекомендует организациям принять меры для устранения уязвимостей и проверить наличие признаков компрометации.
Indicators of Compromise
IPv4
- 118.140.151.242
- 172.245.68.110
- 61.239.68.73
URLs
- http://172.245.68.110:8888
MD5
- 0951109dd1be0d84a33d52c135ba9c97
- 0ba435460fb7622344eec28063274b8a
- 9c3bf506dd19c08c0ed3af9c1708a770
- a78bf3d16349eba86719539ee8ef562d
- c867881c56698f938b4e8edafe76a09b
- df4603548b10211f0aa77d0e9a172438
