Κινέζοι Hackers χρησιμοποιούν ευπάθειες των λογισμικών Connectwise ScreenConnect και F5 BIG-IP, για να διανείμουν custom malware ικανό να παρέχει επιπλέον backdoors σε παραβιασμένα συστήματα Linux.
Η Mandiant παρακολουθεί την κακόβουλη δραστηριότητα ως UNC5174. Πιστεύεται ότι οι επιτιθέμενοι έχουν πραγματοποιήσει εκτεταμένες επιθέσεις εναντίον ερευνητικών και εκπαιδευτικών ιδρυμάτων της Νοτιοανατολικής Ασίας και των ΗΠΑ, επιχειρήσεων του Χονγκ Κονγκ, φιλανθρωπικών και μη κυβερνητικών οργανώσεων (ΜΚΟ) και κυβερνητικών οργανισμών των ΗΠΑ και του Ηνωμένου Βασιλείου. Οι επιθέσεις πραγματοποιήθηκαν κυρίως μεταξύ Οκτωβρίου και Νοεμβρίου 2023, ενώ ένα νέο κύμα παρατηρήθηκε το Φεβρουάριο 2024, μέσω της εκμετάλλευσης ευπάθειας του ScreenConnect.
Δείτε επίσης: Οι Κινέζοι hackers Earth Krahang έχουν παραβιάσει 70 οργανισμούς
Γενικά, η αρχική πρόσβαση στα περιβάλλοντα-στόχους γίνεται μέσω εκμετάλλευσης γνωστών ευπαθειών ασφαλείας στα Atlassian Confluence (CVE-2023-22518), ConnectWise ScreenConnect (CVE-2024-1709), F5 BIG-IP (CVE-2023-46747), Linux Kernel ( CVE-2022-0185) και Zyxel (CVE-2022-3052).
Γίνεται αναγνώριση και σάρωση συστημάτων (εκτεθειμένων στο διαδίκτυο) για ευπάθειες ασφαλείας, με την επιχείρηση UNC5174 να δημιουργεί επίσης λογαριασμούς διαχειριστών χρηστών για την εκτέλεση κακόβουλων ενεργειών με αυξημένα προνόμια. Μια από αυτές τις κακόβουλες ενέργειες είναι η εγκατάσταση, ενός ELF downloader προγράμματος με το όνομα SNOWLIGHT.
Το SNOWLIGHT έχει σχεδιαστεί για λήψη payload επόμενου σταδίου, που είναι ένα Golang backdoor με το όνομα GOREVERSE. Η λήψη γίνεται από μια απομακρυσμένη διεύθυνση URL που σχετίζεται με το SUPERSHELL, ένα open-source command-and-control (C2) framework που επιτρέπει στους εισβολείς να δημιουργούν reverse SSH tunnel και να ξεκινούν διαδραστικά shell sessions για την εκτέλεση κώδικα.
Δείτε επίσης: Ρώσοι, Κινέζοι και Ιρανοί χρησιμοποιούν AI εργαλεία για να βελτιώσουν τις ικανότητές τους στο hacking
Επίσης, οι Κινέζοι hackers χρησιμοποιούν ένα εργαλείο με το όνομα GOHEAVY, το οποίο πιθανότατα χρησιμοποιείται για τη διευκόλυνση του lateral movement μέσα σε ένα δίκτυο. Άλλα προγράμματα που χρησιμοποιούνται στις επιθέσεις, είναι τα afrog, DirBuster, Metasploit, Sliver και sqlmap.
Οι παραπάνω επιθέσεις υπογραμμίζουν για άλλη μια φορά τις συνεχείς προσπάθειες των Κινέζων hackers να παραβιάσουν συστήματα, χρησιμοποιώντας γρήγορα τις ευπάθειες που αποκαλύπτονται σε δημοφιλή λογισμικά.
“Έχει παρατηρηθεί ότι οι hackers είχαν προσπαθήσει να πουλήσουν πρόσβαση σε αμυντικές συσκευές των ΗΠΑ, κυβερνητικές οντότητες και ιδρύματα του Ηνωμένου Βασιλείου στα τέλη του 2023 μετά την εκμετάλλευση του CVE-2023-46747“, ανέφεραν οι ερευνητές της Mandiant.
Δείτε επίσης: Κινέζοι hackers παραβίασαν το δίκτυο υπουργείου της Ολλανδίας
Οι κινεζικές κυβερνοεπιθέσεις είναι μια συνεχής απειλή. Η συχνότητα των επιθέσεων μπορεί να διαφέρει ανάλογα με τους στόχους και τις στρατηγικές των hackers. Η έκταση και η συχνότητα είναι δύσκολο να προσδιοριστούν ακριβώς, καθώς πολλές από αυτές δεν εντοπίζονται.
Οι επιθέσεις από Κινέζους hackers απειλούν την παγκόσμια ασφάλεια των πληροφοριών, με στόχους που περιλαμβάνουν κυβερνητικούς οργανισμούς, ιδιωτικές επιχειρήσεις και ατομικούς χρήστες.
Προστασία από κινεζική κυβερνοκατασκοπεία
Η πρώτη βασική στρατηγική για την προστασία από την κινεζική κυβερνοκατασκοπεία είναι η ενημέρωση και η εκπαίδευση. Οι χρήστες πρέπει να γνωρίζουν τους κινδύνους και τις τακτικές που χρησιμοποιούν οι hackers.
Δεύτερον, η χρήση ισχυρών, μοναδικών κωδικών πρόσβασης μπορεί να βοηθήσει στην προστασία λογαριασμών. Η χρήση διαχειριστή κωδικών πρόσβασης μπορεί να κάνει αυτή τη διαδικασία πιο απλή και ασφαλή.
Τρίτον, η εγκατάσταση και η ενημέρωση λογισμικών προστασίας από ιούς μπορεί να προστατεύσει τα συστήματα από κακόβουλο λογισμικό και άλλες επιθέσεις.
Τέλος, η εφαρμογή των πιο πρόσφατων ενημερώσεων σε όλα τα συστήματα και τις εφαρμογές βοηθά στην αντιμετώπιση ευπαθειών, που θα μπορούσαν να εκμεταλλευτούν οι Κινέζοι hackers (όπως Connectwise ScreenConnect και F5 BIG-IP).
Πηγή: thehackernews.com
