ГоловнаНовини* Китайська загроза групи експлуатувала нульові вразливості в пристроях Ivanti Cloud Services Appliance (CSA), щоб націлитися на критичні сектори Франції.
Кампанія вплинула на державні, телекомунікаційні, медійні, фінансові та транспортні організації, починаючи з вересня 2024 року.
Зловмисники використовували просунуті методи, такі як руткіти, комерційні VPN та інструменти з відкритим кодом для постійного доступу до мережі.
Вразливості, що були використані, включають CVE-2024-8963, CVE-2024-9380 та CVE-2024-8190.
Кампанія, схоже, залучає кількох зловмисників, деякі з яких прагнуть фінансової вигоди, а інші надають доступ до груп, пов'язаних з державою.
Французькі влади повідомили, що китайська хакерська група розпочала кампанію атак проти основних секторів у Франції, включаючи уряд, телекомунікації, ЗМІ, фінанси та транспорт. Кампанія почалася в вересні 2024 року й зосередилася на експлуатації кількох непатчений вразливостей безпеки — відомих як нульові дні — в Ivanti Cloud Services Appliance (CSA) пристроях.
Реклама - Французька національна агенція з безпеки інформаційних систем (ANSSI) заявила, що група, відома як Houken, має зв'язки з загрозою UNC5174, також відомою як Uteus або Uetus, яку відстежує Google Mandiant. Згідно з ANSSI, атакуючі об'єднали використання невідомих вразливостей програмного забезпечення, прихованого руткіта (інструменту, що приховує присутність атакуючого), та ряду програм з відкритим кодом, що в основному розроблені програмістами, які говорять китайською.
ANSSI повідомила: "Інфраструктура атак Houken складається з різноманітних елементів — включаючи комерційні VPN та виділені сервери." HarfangLab, французька компанія в сфері кібербезпеки, описала багатопартійний підхід: одна сторона знаходить вразливості програмного забезпечення, друга група використовує їх для доступу до мережі, а треті сторони здійснюють подальші атаки. Згідно з ANSSI, "Оператори, які стоять за наборами вторгнень UNC5174 та Houken, ймовірно, перш за все шукають цінні початкові доступи для продажу державному актору, який прагне отримати цінну інформацію."
Зловмисники націлилися на три конкретні вразливості Ivanti CSA — CVE-2024-8963, CVE-2024-9380 та CVE-2024-8190. Вони використовували різні методи для крадіжки облікових даних та підтримки доступу до системи, такі як встановлення PHP веб-оболонок, модифікація існуючих скриптів або розгортання руткіта для модулів ядра. Інструменти, такі як веб-оболонки Behinder та NEO-reGeorg, бекдор GOREVERSE та проксі-сервер suo5, були помітні в дії.
Атаки також включали модуль ядра Linux під назвою "sysinitd.ko", який дозволяє зловмисникам перехоплювати весь вхідний трафік і виконувати команди з повними адміністративними привілеями. Згідно з повідомленнями, деякі зловмисники, ймовірно, виправили ті ж уразливості після їх експлуатації, щоб зупинити інші групи від використання тих же систем.
Ширша кампанія вплинула на організації по всій Південно-Східній Азії та західні уряди, освітні сектори, НУО та засоби масової інформації. У деяких випадках зловмисники використовували доступ для майнінгу криптовалюти. Французькі влади припустили, що учасники можуть бути приватною групою, яка продає доступ та інформацію різним організаціям, пов'язаним з державою, під час проведення власних операцій, спрямованих на отримання прибутку.
Попередні статті:
Сенатор Луміс пропонує законопроект, що звільняє від податків на криптовалюту до $300
Перший Абу-Дабі Банк запустить перший цифровий облігаційний випуск на Близькому Сході
0xОбробка: Крипто-платежі виявляються на 91% безпечнішими, ніж карткові системи
OpenAI застерігає від токенів Robinhood на фоні оцінки в 300 мільярдів доларів
JD.com, Ant Group прагнуть до стабільної монети юаня, щоб кинути виклик долару
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Китайські Хакери Використовують Нульові Дні Ivanti CSA У Великий Атаку У Франції
ГоловнаНовини* Китайська загроза групи експлуатувала нульові вразливості в пристроях Ivanti Cloud Services Appliance (CSA), щоб націлитися на критичні сектори Франції.
ANSSI повідомила: "Інфраструктура атак Houken складається з різноманітних елементів — включаючи комерційні VPN та виділені сервери." HarfangLab, французька компанія в сфері кібербезпеки, описала багатопартійний підхід: одна сторона знаходить вразливості програмного забезпечення, друга група використовує їх для доступу до мережі, а треті сторони здійснюють подальші атаки. Згідно з ANSSI, "Оператори, які стоять за наборами вторгнень UNC5174 та Houken, ймовірно, перш за все шукають цінні початкові доступи для продажу державному актору, який прагне отримати цінну інформацію."
Зловмисники націлилися на три конкретні вразливості Ivanti CSA — CVE-2024-8963, CVE-2024-9380 та CVE-2024-8190. Вони використовували різні методи для крадіжки облікових даних та підтримки доступу до системи, такі як встановлення PHP веб-оболонок, модифікація існуючих скриптів або розгортання руткіта для модулів ядра. Інструменти, такі як веб-оболонки Behinder та NEO-reGeorg, бекдор GOREVERSE та проксі-сервер suo5, були помітні в дії.
Атаки також включали модуль ядра Linux під назвою "sysinitd.ko", який дозволяє зловмисникам перехоплювати весь вхідний трафік і виконувати команди з повними адміністративними привілеями. Згідно з повідомленнями, деякі зловмисники, ймовірно, виправили ті ж уразливості після їх експлуатації, щоб зупинити інші групи від використання тих же систем.
Ширша кампанія вплинула на організації по всій Південно-Східній Азії та західні уряди, освітні сектори, НУО та засоби масової інформації. У деяких випадках зловмисники використовували доступ для майнінгу криптовалюти. Французькі влади припустили, що учасники можуть бути приватною групою, яка продає доступ та інформацію різним організаціям, пов'язаним з державою, під час проведення власних операцій, спрямованих на отримання прибутку.
Попередні статті: