中國黑客利用Ivanti CSA零日漏洞在法國發起重大攻擊

首頁新聞* 中國威脅組織利用Ivanti雲服務設備(CSA)中的零日漏洞，針對法國關鍵行業。

• 該活動影響了政府、電信、媒體、金融和運輸組織，從2024年9月開始。
• 攻擊者使用了諸如根套件、商業VPN和開源工具等先進方法，以獲得持續的網路訪問。
• 被利用的漏洞包括 CVE-2024-8963、CVE-2024-9380 和 CVE-2024-8190。
• 該活動似乎涉及多個威脅行爲者，其中一些尋求經濟利益，而其他人則爲與國家相關的團體提供訪問權限。 法國當局報告稱，一個中國黑客組織對法國的主要行業發起了攻擊活動，包括政府、通信、媒體、金融和交通。該活動始於2024年9月，重點利用多個未修補的安全漏洞——即零日漏洞——在**Ivanti Cloud Services Appliance (CSA)**設備上。

• 廣告 - 法國國家信息系統安全局(ANSSI)表示，該組織被識別爲Houken，與威脅集羣UNC5174有聯繫，後者也被稱爲Uteus或Uetus，由谷歌Mandiant跟蹤。根據ANSSI的說法，攻擊者結合了未知軟件漏洞的使用、一個隱藏攻擊者存在的隱蔽根工具(，以及一系列主要由講中文程序員開發的開源程序。

ANSSI 報告稱，“Houken 的攻擊基礎設施由多種元素組成——包括商業 VPN 和專用服務器。” 法國網路安全公司 HarfangLab 描述了一種多方合作的方法：一方發現軟件漏洞，第二組利用這些漏洞進行網路訪問，第三方則進行後續攻擊。根據 ANSSI 的說法，“UNC5174 和 Houken 入侵組背後的操作者可能主要是在尋找有價值的初始訪問權限，以出售給尋求深入情報的國家相關行動者。”

攻擊者針對三個特定的Ivanti CSA漏洞——CVE-2024-8963、CVE-2024-9380和CVE-2024-8190。他們使用不同的方法來竊取憑證並維持系統訪問，例如安裝PHP網頁外殼、修改現有腳本或部署內核模塊rootkit。觀察到使用了Behinder和NEO-reGeorg網頁外殼、GOREVERSE後門和suo5代理等工具。

這些攻擊還涉及一個名爲“sysinitd.ko”的Linux內核模塊，攻擊者可以通過它劫持所有入站流量，並以完全的管理權限執行命令。據報道，一些攻擊者在利用這些漏洞後對其進行了修補，可能是爲了阻止其他團體使用相同的系統。

更廣泛的活動影響了整個東南亞和西方政府、教育部門、非政府組織和媒體機構。在某些情況下，攻擊者利用訪問權限進行 cryptocurrency 挖礦。法國當局暗示這些行爲者可能是一個私營團體，向各種與國家有關的組織出售訪問權限和信息，同時進行自身以盈利爲目的的操作。

)# 之前的文章:

• 盧米斯參議員提議法案，免除300美元以下的加密貨幣稅
• 阿布扎比銀行將推出中東首個數字債券
• 0x處理：加密支付比卡系統安全91%
• OpenAI 警告在 3000 億估值下使用 Robinhood 代幣
• 京東、螞蟻集團推動人民幣穩定幣以挑戰美元

• 廣告 -