.png)
Çin Bağlantılı Grup, Connectwise, F5 Yazılım Kusurları Aracılığıyla Ağları İhlal Ediyor
Çin bağlantılı bir tehdit kümesi, "agresif" bir kampanyanın parçası olarak güvenliği ihlal edilmiş Linux ana bilgisayarlarına ek arka kapılar sunabilen özel kötü amaçlı yazılımlar sunmak için Connectwise ScreenConnect ve F5 BIG-IP yazılımındaki güvenlik açıklarından yararlandı.
Google'ın sahibi olduğu Mandiant, etkinliği kategorize edilmemiş takma adı UNC5174 (diğer adıyla Uteus veya Uetus) altında izliyor ve onu "o zamandan beri Çin Devlet Güvenlik Bakanlığı (MSS) için erişim operasyonlarını yürütmeye odaklanan bir yüklenici olarak hareket ettiğine dair belirtiler gösteren Çinli hacktivist kolektiflerin eski bir üyesi" olarak tanımlıyor.
Tehdit aktörünün, Ekim ve Kasım 2023 arasında ve yine Şubat 2024'te ScreenConnect hatasını kullanarak Güneydoğu Asya ve ABD araştırma ve eğitim kurumlarına, Hong Kong işletmelerine, hayır kurumlarına ve sivil toplum kuruluşlarına (STK'lar) ve ABD ve Birleşik Krallık devlet kuruluşlarına karşı yaygın saldırılar düzenlediğine inanılıyor.
Atlassian Confluence (CVE-2023-22518), ConnectWise ScreenConnect (CVE-2024-1709), F5 BIG-IP (CVE-2023-46747), Linux Kernel (CVE-2022-0185) ve Zyxel'deki (CVE-2022-3052) bilinen güvenlik açıklarından yararlanılarak hedef ortamlara ilk erişim kolaylaştırılır.
Başarılı bir dayanağı, internete yönelik sistemlerin güvenlik açıkları için kapsamlı bir şekilde keşfedilmesi ve taranması takip eder ve UNC5174, SNOWLIGHT adlı C tabanlı bir ELF indiricisini bırakmak da dahil olmak üzere, yükseltilmiş ayrıcalıklarla kötü amaçlı eylemler yürütmek için yönetici kullanıcı hesapları oluşturur.
SNOWLIGHT, bir sonraki aşama yükü olan GOREVERSE adlı gizlenmiş bir Golang arka kapısını uzak bir URL'den indirmek ve saldırganların ters bir SSH tüneli oluşturmasına ve rastgele kod yürütmek için etkileşimli kabuk oturumları başlatmasına olanak tanıyan açık kaynaklı bir komut ve kontrol (C2) çerçevesi olan SUPERSHELL ile iletişim kurmak için tasarlanmıştır.
Tehdit aktörü tarafından ayrıca, güvenliği ihlal edilmiş ağlarda yanal hareketi kolaylaştırmak için kullanılan GOHEAVY olarak bilinen Golang tabanlı bir tünel açma aracının yanı sıra afrog, DirBuster, Metasploit, Sliver ve sqlmap gibi diğer programlar da kullanılıyor.
.jpg)
Tehdit istihbaratı firması tarafından tespit edilen olağandışı bir örnekte, tehdit aktörlerinin, diğer ilgisiz düşmanların erişim elde etmek için aynı boşluğu silah haline getirmesini önlemek amacıyla CVE-2023-46747 için azaltıcı etkenler uyguladığı tespit edildi.
Mandiant, "UNC5174 (diğer adıyla Uteus) daha önce Çinli hacktivist kolektifler 'Dawn Calvary'nin bir üyesiydi ve 'Genesis Day' / 'Xiaoqiying' ve 'Teng Snake' ile işbirliği yaptı" dedi. "Bu kişi, 2023'ün ortalarında bu gruplardan ayrılmış gibi görünüyor ve o zamandan beri, güvenliği ihlal edilmiş ortamlara erişime aracılık etmek amacıyla erişim operasyonlarını yürütmeye odaklandı."
Dark web forumlarındaki iddia edilen iddiaları göz önüne alındığında, tehdit aktörünün bir ilk erişim aracısı olabileceğini ve MSS'nin desteğine sahip olabileceğini gösteren kanıtlar var. Bu, bazı ABD savunma ve Birleşik Krallık hükümet kurumlarının aynı anda UNC302 olarak adlandırılan başka bir erişim komisyoncusu tarafından hedef alınmasıyla destekleniyor.
Bulgular, Çinli ulus devlet gruplarının, siber casusluk operasyonlarını geniş ölçekte yürütmek için hızlı bir şekilde sıfır gün ve yakın zamanda açıklanan güvenlik açıklarını cephaneliklerine dahil ederek uç cihazları ihlal etme çabalarının devam ettiğinin altını bir kez daha çiziyor.
Mandiant araştırmacıları, "CVE-2023-46747 istismarının ardından 2023'ün sonlarında ABD savunma müteahhitlerine, Birleşik Krallık devlet kurumlarına ve Asya'daki kurumlara erişim satmaya çalışırken UNC5174 gözlemlendi" dedi.
"UNC5174 ve UNC302 arasında benzerlikler var, bu da bir MSS ilk erişim aracısı ortamında çalıştıklarını gösteriyor. Bu benzerlikler, bu tehdit aktörleri arasında olası ortak istismarları ve operasyonel öncelikleri gösteriyor, ancak kesin ilişkilendirme için daha fazla araştırma yapılması gerekiyor."
Açıklama, MSS'nin isimsiz bir yabancı bilgisayar korsanlığı grubunun, ağları ihlal etmek için kimlik avı e-postalarından ve bilinen güvenlik hatalarından yararlanarak "yüzlerce" Çinli iş ve devlet kuruluşuna sızdığı konusunda uyarmasıyla geldi. Tehdit aktörünün adını veya kökenini açıklamadı.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor
GFI KerioControl'deki kritik RCE kusuru, CRLF enjeksiyonu yoluyla uzaktan kod yürütülmesine izin verir
CISA, Aktif Sömürünün Ortasında Mitel ve Oracle Sistemlerindeki Kritik Kusurları İşaretledi
Araştırmacılar Illumina iSeq 100 DNA Dizileyicilerindeki Büyük Güvenlik Açığını Ortaya Çıkardı
Moxa, kullanıcıları hücresel ve güvenli yönlendiricilerdeki yüksek önem derecesine sahip güvenlik açıklarına karşı uyarır
Araştırmacılar, imza atlama ve kod yürütmeyi sağlayan çekirdek güvenlik açığını ortaya çıkardı