Домашняя страницаНовости* Китайская угроза группа использовала уязвимости нулевого дня в устройствах Ivanti Cloud Services Appliance (CSA) для атаки на критические сектора Франции.
Кампания затронула государственные, телекоммуникационные, медийные, финансовые и транспортные организации, начиная с сентября 2024 года.
Злоумышленники использовали продвинутые методы, такие как руткиты, коммерческие VPN и инструменты с открытым исходным кодом для постоянного доступа к сети.
Эксплуатируемые уязвимости включают CVE-2024-8963, CVE-2024-9380 и CVE-2024-8190.
Кампания, по-видимому, включает несколько угроз, некоторые из которых стремятся к финансовой выгоде, в то время как другие предоставляют доступ к государственным группам.
Французские власти сообщили, что основанная в Китае хакерская группа начала кампанию атак против основных секторов во Франции, включая правительство, телекоммуникации, СМИ, финансы и транспорт. Кампания началась в сентябре 2024 года и была сосредоточена на эксплуатации нескольких незащищенных уязвимостей — известных как нулевые дни — в Ivanti Cloud Services Appliance (CSA) устройствах.
Реклама - Французское национальное агентство по безопасности информационных систем (ANSSI) заявило, что группа, идентифицированная как Houken, имеет связи с угрожающим кластером UNC5174, также называемым Uteus или Uetus, отслеживаемым Google Mandiant. Согласно ANSSI, злоумышленники комбинировали использование неизвестных уязвимостей программного обеспечения, скрытого руткита (инструмента, который скрывает присутствие злоумышленника), и ряда программ с открытым исходным кодом, в основном разработанных программистами, говорящими на китайском языке.
АНССИ сообщило: "Инфраструктура атак Хоукена состоит из различных элементов — включая коммерческие VPN и выделенные серверы." HarfangLab, французская компания в области кибербезопасности, описала многосторонний подход: одна сторона находит уязвимости программного обеспечения, вторая группа использует их для доступа к сети, а третьи стороны проводят последующие атаки. Согласно АНССИ, "Операторы, стоящие за наборами вторжений UNC5174 и Houken, вероятно, в первую очередь ищут ценные первоначальные доступы для продажи государственно связанному актору, стремящемуся получить полезную разведывательную информацию."
Атакующие нацелились на три конкретные уязвимости Ivanti CSA — CVE-2024-8963, CVE-2024-9380 и CVE-2024-8190. Они использовали различные методы для кражи учетных данных и поддержания доступа к системе, такие как установка PHP веб-оболочек, модификация существующих скриптов или развертывание корневого набора модулей ядра. Были зафиксированы инструменты, такие как веб-оболочки Behinder и NEO-reGeorg, бекдор GOREVERSE и прокси suo5.
Атаки также включали в себя модуль ядра Linux под названием "sysinitd.ko", который позволяет злоумышленникам перехватывать весь входящий трафик и выполнять команды с полными административными привилегиями. Сообщается, что некоторые злоумышленники исправили те же уязвимости после их эксплуатации, вероятно, чтобы не позволить другим группам использовать те же системы.
Широкая кампания затронула организации по всему Юго-Восточной Азии и западные правительства, образовательные сектора, НПО и средства массовой информации. В некоторых случаях злоумышленники использовали доступ для майнинга криптовалюты. Французские власти предположили, что участники могут быть частной группой, продающей доступ и информацию различным государственным организациям, одновременно проводя свои собственные операции, направленные на получение прибыли.
Предыдущие статьи:
Сенатор Луммис предлагает законопроект об освобождении от налога на криптовалюту на сумму менее 300 долларов
Первый Абу-Даби Банк запускает первую цифровую облигацию на Ближнем Востоке
0xОбработка: Крипто-платежи на 91% безопаснее, чем карточные системы
OpenAI предостерегает от токенов Robinhood на фоне оценки в 300 миллиардов долларов
JD.com и Ant Group выступают за стабильную монету юаня, чтобы бросить вызов доллару
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Китайские Хакеры Используют Уязвимости Zero-Day Ivanti CSA В Главной Атаке Во Франции
Домашняя страницаНовости* Китайская угроза группа использовала уязвимости нулевого дня в устройствах Ivanti Cloud Services Appliance (CSA) для атаки на критические сектора Франции.
АНССИ сообщило: "Инфраструктура атак Хоукена состоит из различных элементов — включая коммерческие VPN и выделенные серверы." HarfangLab, французская компания в области кибербезопасности, описала многосторонний подход: одна сторона находит уязвимости программного обеспечения, вторая группа использует их для доступа к сети, а третьи стороны проводят последующие атаки. Согласно АНССИ, "Операторы, стоящие за наборами вторжений UNC5174 и Houken, вероятно, в первую очередь ищут ценные первоначальные доступы для продажи государственно связанному актору, стремящемуся получить полезную разведывательную информацию."
Атакующие нацелились на три конкретные уязвимости Ivanti CSA — CVE-2024-8963, CVE-2024-9380 и CVE-2024-8190. Они использовали различные методы для кражи учетных данных и поддержания доступа к системе, такие как установка PHP веб-оболочек, модификация существующих скриптов или развертывание корневого набора модулей ядра. Были зафиксированы инструменты, такие как веб-оболочки Behinder и NEO-reGeorg, бекдор GOREVERSE и прокси suo5.
Атаки также включали в себя модуль ядра Linux под названием "sysinitd.ko", который позволяет злоумышленникам перехватывать весь входящий трафик и выполнять команды с полными административными привилегиями. Сообщается, что некоторые злоумышленники исправили те же уязвимости после их эксплуатации, вероятно, чтобы не позволить другим группам использовать те же системы.
Широкая кампания затронула организации по всему Юго-Восточной Азии и западные правительства, образовательные сектора, НПО и средства массовой информации. В некоторых случаях злоумышленники использовали доступ для майнинга криптовалюты. Французские власти предположили, что участники могут быть частной группой, продающей доступ и информацию различным государственным организациям, одновременно проводя свои собственные операции, направленные на получение прибыли.
Предыдущие статьи: