HomeNews* Un grupo de amenazas chino explotó vulnerabilidades de día cero en los dispositivos Ivanti Cloud Services Appliance (CSA) para atacar sectores críticos franceses.
La campaña afectó a organizaciones gubernamentales, de telecomunicaciones, medios de comunicación, finanzas y transporte a partir de septiembre de 2024.
Los atacantes utilizaron métodos avanzados como rootkits, VPN comerciales y herramientas de código abierto para mantener el acceso a la red.
Las vulnerabilidades explotadas incluyen CVE-2024-8963, CVE-2024-9380 y CVE-2024-8190.
La campaña parece involucrar a múltiples actores de amenazas, algunos buscando ganancias financieras y otros proporcionando acceso a grupos vinculados al estado.
Las autoridades francesas informaron que un grupo de hackers basado en China lanzó una campaña de ataque contra los principales sectores en Francia, incluidos el gobierno, las telecomunicaciones, los medios, las finanzas y el transporte. La campaña comenzó en septiembre de 2024 y se centró en explotar varias vulnerabilidades de seguridad no corregidas—conocidas como zero-days—en Ivanti Cloud Services Appliance (CSA) dispositivos.
Publicidad - La Agencia Nacional Francesa para la Seguridad de los Sistemas de Información (ANSSI) declaró que el grupo, identificado como Houken, comparte conexiones con el grupo de amenazas UNC5174, también llamado Uteus o Uetus, rastreado por Google Mandiant. Según ANSSI, los atacantes combinaron el uso de vulnerabilidades de software desconocidas, un rootkit oculto (una herramienta que oculta la presencia del atacante), y una variedad de programas de código abierto desarrollados principalmente por programadores de habla china.
ANSSI informó, “La infraestructura de ataque de Houken está compuesta por diversos elementos, incluidos VPN comerciales y servidores dedicados.” HarfangLab, una firma de ciberseguridad francesa, describió un enfoque multipartito: una parte encuentra vulnerabilidades de software, un segundo grupo las utiliza para acceder a la red, y terceros llevan a cabo ataques posteriores. Según ANSSI, “Los operadores detrás de los conjuntos de intrusión UNC5174 y Houken probablemente buscan principalmente accesos iniciales valiosos para vender a un actor vinculado al estado que busca inteligencia perspicaz.”
Los atacantes apuntaron a tres vulnerabilidades específicas de Ivanti CSA: CVE-2024-8963, CVE-2024-9380 y CVE-2024-8190. Utilizaron diferentes métodos para robar credenciales y mantener el acceso al sistema, como la instalación de shells web PHP, la modificación de scripts existentes o el despliegue de un rootkit de módulo del núcleo. Se observaron herramientas como los shells web Behinder y NEO-reGeorg, el backdoor GOREVERSE y el proxy suo5 en uso.
Los ataques también involucraron un módulo del kernel de Linux llamado “sysinitd.ko”, que permite a los atacantes secuestrar todo el tráfico entrante y ejecutar comandos con plenos privilegios administrativos. Algunos atacantes, según informes, parchearon las mismas vulnerabilidades después de explotarlas, probablemente para evitar que otros grupos utilizaran los mismos sistemas.
La campaña más amplia afectó a organizaciones en toda el Sudeste Asiático y gobiernos occidentales, sectores educativos, ONG y medios de comunicación. En algunos casos, los atacantes utilizaron el acceso para la minería de criptomonedas. Las autoridades francesas sugirieron que los actores podrían ser un grupo privado que vende acceso e información a varias organizaciones vinculadas al estado mientras llevan a cabo sus propias operaciones motivadas por el lucro.
Artículos Anteriores:
La senadora Lummis propone un proyecto de ley para eximir los impuestos sobre criptomonedas inferiores a $300
El primer banco de Abu Dhabi lanzará el primer bono digital de Oriente Medio
0xProcessing: Los pagos criptográficos demuestran ser un 91% más seguros que los sistemas de tarjetas
OpenAI advierte contra los tokens de Robinhood en medio de una valoración de $300 mil millones
JD.com y Ant Group impulsan un stablecoin en yuanes para desafiar al dólar
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Hacker Chinos Explotan Días Cero de Ivanti CSA en un Gran Ataque en Francia
HomeNews* Un grupo de amenazas chino explotó vulnerabilidades de día cero en los dispositivos Ivanti Cloud Services Appliance (CSA) para atacar sectores críticos franceses.
ANSSI informó, “La infraestructura de ataque de Houken está compuesta por diversos elementos, incluidos VPN comerciales y servidores dedicados.” HarfangLab, una firma de ciberseguridad francesa, describió un enfoque multipartito: una parte encuentra vulnerabilidades de software, un segundo grupo las utiliza para acceder a la red, y terceros llevan a cabo ataques posteriores. Según ANSSI, “Los operadores detrás de los conjuntos de intrusión UNC5174 y Houken probablemente buscan principalmente accesos iniciales valiosos para vender a un actor vinculado al estado que busca inteligencia perspicaz.”
Los atacantes apuntaron a tres vulnerabilidades específicas de Ivanti CSA: CVE-2024-8963, CVE-2024-9380 y CVE-2024-8190. Utilizaron diferentes métodos para robar credenciales y mantener el acceso al sistema, como la instalación de shells web PHP, la modificación de scripts existentes o el despliegue de un rootkit de módulo del núcleo. Se observaron herramientas como los shells web Behinder y NEO-reGeorg, el backdoor GOREVERSE y el proxy suo5 en uso.
Los ataques también involucraron un módulo del kernel de Linux llamado “sysinitd.ko”, que permite a los atacantes secuestrar todo el tráfico entrante y ejecutar comandos con plenos privilegios administrativos. Algunos atacantes, según informes, parchearon las mismas vulnerabilidades después de explotarlas, probablemente para evitar que otros grupos utilizaran los mismos sistemas.
La campaña más amplia afectó a organizaciones en toda el Sudeste Asiático y gobiernos occidentales, sectores educativos, ONG y medios de comunicación. En algunos casos, los atacantes utilizaron el acceso para la minería de criptomonedas. Las autoridades francesas sugirieron que los actores podrían ser un grupo privado que vende acceso e información a varias organizaciones vinculadas al estado mientras llevan a cabo sus propias operaciones motivadas por el lucro.
Artículos Anteriores: