中國國家級駭客組織UNC5174利用ScreenConnect、F5 BIG-IP漏洞鎖定國防及政府單位

2024 / 03 / 26

編輯部

中國國家級駭客組織UNC5174利用ScreenConnect、F5 BIG-IP漏洞鎖定國防及政府單位

外媒報導，Google旗下安全公司Mandiant最新報告顯示與中國政府高度相關的駭客組織UNC5174正在利用兩個廣為人知的漏洞，攻擊美國國防承包商、英國政府單位以及亞洲地區的機構。研究人員認為，UNC5174可能是中國國家安全部門的承包商，專門執行存取操作。

報告顯示，UNC5174近期大舉利用 ConnectWise ScreenConnect 漏洞CVE-2024-1709與F5 BIG-IP 漏洞CVE-2023-46747，已入侵數百家美國、加拿大、英國以及亞洲等地的國防承包商、政府機構和大學。

Mandiant 發現 UNC5174 利用自製工具，系統性滲透目標機構。這反映出中國持續鎖定關鍵資產，大規模展開間諜行動。他們迅速利用新曝光漏洞，盜取機密。

根據Mandiant的說法， UNC5174的行動提供中國國家安全部門所需要的初始存取系統工具，鎖定全球具有戰略利益的組織。Mandiant認為，UNC5174將持續對美國、加拿大、東南亞、香港和英國的學術、非政府組織和政府部門構成威脅。

Mandiant的調查行動中，發現UNC5174近日積極針對美國、大洋洲和香港地區知名大學的對外系統，進行漏洞掃描。雖然無法確認是否取得成功，但Mandiant觀察到美國和台灣的智庫也遭到鎖定。

Mandiant特別點出UNC5174會在入侵系統後，為受害系統植入後門並修補它們所利用的漏洞。Mandiant解釋這是「一種試圖限制其他非相關威脅來源後續利用該系統並存取設備的做法」。

UNC5174與 Dawn Calvary 及 Genesis Day的中國駭客激進分子團體有關聯。在多個暗網論壇上， UNC5174明確聲稱與中國國家安全部門有關聯，並獲得中國政府APT組織的支援。雖然目前無法確立明確關係，但Mandiant強調，UNC5174與UNC302之間存在相似之處，這意味著他們可能負責於中國國家安全部門攻擊行動的初始存取。

本文轉載自TheRecord。

CVE-2024-1709 CVE-2023-46747 國防單位初始存取工具