Last Updated on 2024-06-30 04:43 by admin

2024年3月22日、中国に関連する脅威グループがConnectwise ScreenConnectおよびF5 BIG-IPソフトウェアのセキュリティ欠陥を利用して、Linuxホストに追加のバックドアを提供するカスタムマルウェアを配布する「積極的」なキャンペーンの一環としてネットワークを侵害した。Google傘下のMandiantは、この活動を未分類の名称UNC5174（別名UteusまたはUetus）として追跡しており、中国の国家安全省（MSS）のためにアクセス操作を実行する契約者として行動する兆候を示している以前の中国のハクティビスト集団のメンバーとして記述している。

この脅威アクターは、2023年10月から11月、そして2024年2月に再びScreenConnectのバグを利用して、東南アジアおよび米国の研究教育機関、香港のビジネス、慈善団体および非政府組織（NGO）、米国および英国の政府機関に対して広範囲にわたる攻撃を仕掛けたと信じられている。ターゲット環境への初期アクセスは、Atlassian Confluence（CVE-2023-22518）、ConnectWise ScreenConnect（CVE-2024-1709）、F5 BIG-IP（CVE-2023-46747）、Linux Kernel（CVE-2022-0185）、およびZyxel（CVE-2022-3052）の既知のセキュリティ欠陥の悪用によって容易にされる。

UNC5174はまた、セキュリティ脆弱性のあるインターネットに面したシステムの広範な偵察とスキャンに続いて、悪意のある行動を高い権限で実行するために管理者ユーザーアカウントを作成する。SNOWLIGHTと呼ばれるCベースのELFダウンローダーは、次段階のペイロードであるGOREVERSEという名前の難読化されたGolangバックドアをリモートURLからダウンロードするように設計されている。このURLは、攻撃者がリバースSSHトンネルを確立し、任意のコードを実行するためのインタラクティブなシェルセッションを起動することを可能にするオープンソースのコマンドアンドコントロール（C2）フレームワークであるSUPERSHELLに関連している。

脅威アクターが使用するもう一つのツールは、GOHEAVYと呼ばれるGolangベースのトンネリングツールであり、侵害されたネットワーク内での横方向の移動を容易にするために使用される可能性がある。また、afrog、DirBuster、Metasploit、Sliver、およびsqlmapなどのプログラムも使用されている。脅威情報会社によって特定された一つの珍しい例では、脅威アクターがCVE-2023-46747の緩和策を適用しており、これは他の無関係な敵が同じループホールを武器化してアクセスを得るのを防ぐための可能性がある。

Mandiantの評価によると、「UNC5174（別名Uteus）は以前、「Dawn Calvary」と「Genesis Day」/「Xiaoqiying」および「Teng Snake」と協力していた中国のハクティビスト集団のメンバーであった。この個人は2023年半ばにこれらのグループを離れ、以降は侵害された環境へのアクセスを仲介することを目的としたアクセス操作の実行に注力していると見られる。」また、脅威アクターが初期アクセスブローカーである可能性が示唆されており、ダークウェブフォーラムでMSSとの提携を主張している。これは、米国の防衛および英国の政府機関が別のアクセスブローカーであるUNC302によって同時に標的にされた事実によって補強されている。

【ニュース解説】

2024年3月22日、中国に関連する脅威グループが、Connectwise ScreenConnectおよびF5 BIG-IPソフトウェアのセキュリティ欠陥を利用して、Linuxホストに追加のバックドアを提供するカスタムマルウェアを配布するという積極的なキャンペーンを展開しました。この活動は、Google傘下のMandiantによって追跡され、UNC5174（別名UteusまたはUetus）として未分類の名称で記述されています。このグループは、中国の国家安全省（MSS）のためにアクセス操作を実行する契約者として行動する兆候を示している、以前の中国のハクティビスト集団のメンバーとされています。

この脅威アクターは、東南アジアおよび米国の研究教育機関、香港のビジネス、慈善団体および非政府組織（NGO）、米国および英国の政府機関を対象に、2023年10月から11月、そして2024年2月に再び攻撃を仕掛けました。これらの攻撃は、複数の既知のセキュリティ欠陥を悪用することで実施されました。

UNC5174は、侵害された環境内での広範な偵察とスキャンに続いて、悪意のある行動を実行するために管理者ユーザーアカウントを作成しました。また、SNOWLIGHTというCベースのELFダウンローダーを使用して、次段階のペイロードであるGOREVERSEという名前の難読化されたGolangバックドアをダウンロードしました。このバックドアは、攻撃者がリバースSSHトンネルを確立し、任意のコードを実行するためのインタラクティブなシェルセッションを起動することを可能にするSUPERSHELLというオープンソースのコマンドアンドコントロール（C2）フレームワークに関連しています。

この脅威アクターは、侵害されたネットワーク内での横方向の移動を容易にするために、GOHEAVYと呼ばれるGolangベースのトンネリングツールも使用しています。さらに、afrog、DirBuster、Metasploit、Sliver、およびsqlmapなどのプログラムも使用されています。

Mandiantの評価によると、UNC5174は以前、「Dawn Calvary」と「Genesis Day」/「Xiaoqiying」および「Teng Snake」と協力していた中国のハクティビスト集団のメンバーであり、2023年半ばにこれらのグループを離れ、以降は侵害された環境へのアクセスを仲介することを目的としたアクセス操作の実行に注力しています。また、この脅威アクターが初期アクセスブローカーである可能性が示唆されており、ダークウェブフォーラムでMSSとの提携を主張しています。

このニュースは、中国の国家安全省（MSS）と関連があるとされる脅威グループが、セキュリティの脆弱性を悪用して高度なサイバー攻撃を実行していることを示しています。これらの攻撃は、重要な研究教育機関や政府機関を含む様々な組織に対して行われており、サイバーセキュリティの重要性を改めて浮き彫りにしています。また、このような攻撃が国際的な緊張を高め、サイバー空間での国家間の競争を激化させる可能性があります。セキュリティ対策の強化と国際的な協力が、このような脅威に対抗するためには不可欠です。

from China-Linked Group Breaches Networks via Connectwise, F5 Software Flaws.

admin

See Full Bio