中国一名与国务院国家安全部MSS有关的黑客最近利用已知的漏洞攻击了数百个组织,其中包括美国和英国的政府机构。研究人员指出,这一行动表明了与中华人民共和国PRC有关的威胁行为者正在有计划地针对其战略或政治关注的目标进行攻击。
该黑客被Mandiant追踪为UNC5174,特别活跃于利用ConnectWise ScreenConnect的最高严重性漏洞,CVE20241709,以及F5 BIGIP中的一个高危漏洞,CVE202346747。
根据Mandiant的一篇近期文章,UNC5174自称为“Uteus”,据悉是中国黑客运动组织的前成员。现在他们似乎正作为MSS的承包商,专注于获取目标组织的首次访问权限。
UNC5174与近期的大规模针对性入侵活动有关。除了攻击美国和英国的政府目标外,还对东南亚及美国的研究和教育机构进攻,并针对香港的商业、慈善机构和非政府组织。
研究人员表示:“与中国有关的行为者继续对广泛使用的边缘设备如F5 BIGIP和ScreenConnect进行漏洞研究,以便能够进行大规模的间谍行动。”
他们提到:“这些行动通常包括快速利用最近曝光的漏洞,使用自定义或公开可用的概念验证PoC利用工具。”
UNC5174利用的ScreenConnect和BIGIP漏洞均有PoC可用。
Mandiant观察到,该威胁行为者在去年的十月末漏洞PoC公开后的几天内,即开始攻击BIGIP设备。获取访问权限后,黑客被看到在受影响的设备上创建新后门帐户。
在研究人员形容的一个不寻常的后续步骤中,UNC5174随后试图对他们利用的漏洞进行“自我修补”。他们尝试使用F5提供的缓解脚本进行修补。
研究人员认为,这位黑客试图“限制后续与该系统无关的其他威胁行为者的进一步利用。”
黑洞加速器最新版上个月,一些威胁团体,包括Play和LockBit勒索病毒团伙,利用了ScreenConnect漏洞。Uteus在黑网论坛上声称,他们成功利用了该漏洞,全球范围内攻击了数百个组织,主要集中在美国和加拿大。
Mandiant的研究人员表示,他们看到证据表明UNC5174/Uteus在“众多”组织的ScreenConnect实例中添加了一个名为“cvetest”的管理用户。
“Mandiant相信UNC5174将继续对美国、加拿大、东南亚、香港和英
