Chinese State-Linked Hackers Target Critical Systems; Exploit F5 and ScreenConnect Flaws
2024/03/22 SecurityOnline — UNC5174 という新たな脅威アクターが、ゼロデイおよび最近にパッチが適用された脆弱性を悪用して、一連の標的型侵入を仕掛けていることが、Mandiant のレポートにより明らかになった。同グループの活動は、技術力の高い標的攻撃により、特に政府/防衛/学術などの分野における、価値の高い組織をターゲットにするものだ。
UNC5174 とは?
UNC5174 は、中国 MSS (Ministry of State Security) の IAB (Initial Access Broker) として活動していると、Mandiant は中程度の確信を持って評価している。つまり彼らは、ネットワークに不正に侵入して、そのアクセスを他の関係者 (より専門的な目標を持つ国家に支援されたハッキング・グループ) に売ることを専門としているようだ。
UNC5174 グループは、中国における過去のハクティビストから派生したグループだと推測される。彼らは、F5 BIG-IP や Connectwise ScreenConnect のような、広く使用されているネットワーク・アプライアンスを標的とした攻撃を展開している。その動きから窺えるのは、スピーディーな脆弱性リサーチと、エクスプロイト開発である。
UNC5174 の戦術とテクニック
- エクスプロイトの焦点:このグループは、古いゼロデイ脆弱性 (CVE-2023-46747 など) と、最近にパッチがリリースされた脆弱性 (CVE-2024-1709 など) の双方を悪用して、攻撃を展開している。
- カスタム・マルウェアとオープンソース・ツール:UNC5174 は、カスタム開発されたマルウェア (SNOWLIGHT/GOREVERSE/GOHEAVY など) と、一般公開されている侵入テスト・ツールが混在する、ツールのセットを使用している。混在させることにより、ステルス性と適応性を両立させている。
- 侵入後の行動:UNC5174 はアクセスに成功すると、新しい管理者アカウントを作成した後に、検出を回避するように設計されたマルウェアをダウンロードして実行し、さらにネットワークを探索するために隠れた通信チャネルを確立する。
攻撃の前例と標的
- 2023年10月:UNC5174 による最初のゼロデイ攻撃は、F5 BIG-IP の脆弱性を悪用して、米国/英国の政府機関を標的とするものだった。この攻撃は、特に防衛産業に集中して行われたと、Mandiant は述べている。
- 2024年2月:Connectwise ScreenConnect の脆弱性が大規模に悪用され、北米に集中する数百の組織が危険にさらされた。標的が広範であることから、複数のクライアントへのアクセスが仲介された可能性がある。
- その他の標的:Mandiant のレポートは、これらの主要なインシデントに焦点を当てている。しかし UNC5174 は、米国/台湾のシンクタンクだけでなく、東南アジアや香港の機関も標的にしていたことが示唆される。
身を守るためにすべきこと
UNC5174 による一連の侵入は、中国国家支援のハッカーによる、継続的な脅威を浮き彫りにしている。身を守るために、以下のような防御策を実施すべきである:
- 迅速なパッチ適用:重要な脆弱性に対するセキュリティ・パッチがリリースされたら、ただちに適用する。
- ネットワークの監視:強固なネットワーク監視を実施し、侵害の兆候を検知する。
- 脅威インテリジェンス:UNC5174 のような脅威アクターの、最新の戦術やテクニックに関する情報を常に入手する。
UNC5174 という中国由来の APT は、このブログでも初登場です。F5 BIG-IP の脆弱性 CVE-2023-46747 は 2023年10月で、ScreenConnect の脆弱性 CVE-2024-1709 は 2024年2月だと、お隣のキュレーション・チームが教えてくれました。新旧の脆弱性を悪用してくる UNC5174 は、手ごわそうな APT ですね。よろしければ、APT で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.