HomeNews* Grup ancaman China mengeksploitasi kerentanan zero-day di perangkat Ivanti Cloud Services Appliance (CSA) untuk menargetkan sektor-sektor kritis Prancis.
Kampanye tersebut mempengaruhi organisasi pemerintah, telekomunikasi, media, keuangan, dan transportasi mulai September 2024.
Penyerang menggunakan metode canggih seperti rootkit, VPN komersial, dan alat sumber terbuka untuk akses jaringan yang persisten.
Kerentanan yang dieksploitasi termasuk CVE-2024-8963, CVE-2024-9380, dan CVE-2024-8190.
Kampanye ini tampaknya melibatkan beberapa pelaku ancaman, dengan beberapa mencari keuntungan finansial dan lainnya memberikan akses ke kelompok yang terkait dengan negara.
Otoritas Prancis melaporkan bahwa sebuah kelompok peretas yang berbasis di Tiongkok meluncurkan kampanye serangan terhadap sektor-sektor utama di Prancis, termasuk pemerintah, telekomunikasi, media, keuangan, dan transportasi. Kampanye ini dimulai pada September 2024 dan fokus pada mengeksploitasi beberapa celah keamanan yang belum diperbaiki—dikenal sebagai zero-days—pada perangkat Ivanti Cloud Services Appliance (CSA).
Iklan - Badan Nasional Prancis untuk Keamanan Sistem Informasi (ANSSI) menyatakan bahwa kelompok yang diidentifikasi sebagai Houken, memiliki hubungan dengan kelompok ancaman UNC5174, juga disebut Uteus atau Uetus, yang dilacak oleh Google Mandiant. Menurut ANSSI, para penyerang menggabungkan penggunaan kerentanan perangkat lunak yang tidak diketahui, rootkit tersembunyi (alat yang menyembunyikan keberadaan penyerang), dan berbagai program sumber terbuka yang sebagian besar dikembangkan oleh programmer berbahasa Tionghoa.
ANSSI melaporkan, “Infrastruktur serangan Houken terdiri dari berbagai elemen—termasuk VPN komersial dan server khusus.” HarfangLab, sebuah perusahaan Cybersecurity Prancis, menggambarkan pendekatan multi-pihak: satu pihak menemukan kerentanan perangkat lunak, kelompok kedua menggunakannya untuk akses jaringan, dan pihak ketiga melaksanakan serangan lanjutan. Menurut ANSSI, “Para operator di balik set intrusi UNC5174 dan Houken kemungkinan besar terutama mencari akses awal yang berharga untuk dijual kepada aktor yang terkait dengan negara yang mencari intelijen yang mendalam.”
Para penyerang menargetkan tiga kerentanan spesifik Ivanti CSA—CVE-2024-8963, CVE-2024-9380, dan CVE-2024-8190. Mereka menggunakan berbagai metode untuk mencuri kredensial dan mempertahankan akses sistem, seperti menginstal shell web PHP, memodifikasi skrip yang ada, atau menerapkan rootkit modul kernel. Alat seperti shell web Behinder dan NEO-reGeorg, pintu belakang GOREVERSE, dan proksi suo5 diamati digunakan.
Serangan tersebut juga melibatkan modul kernel Linux yang disebut "sysinitd.ko," yang memungkinkan penyerang untuk membajak semua lalu lintas masuk dan mengeksekusi perintah dengan hak istimewa administratif penuh. Beberapa penyerang dilaporkan memperbaiki kerentanan yang sama setelah mengeksploitasinya, kemungkinan untuk menghentikan kelompok lain dari menggunakan sistem yang sama.
Kampanye yang lebih luas mempengaruhi organisasi di seluruh Asia Tenggara dan pemerintah Barat, sektor pendidikan, LSM, dan outlet media. Dalam beberapa kasus, para penyerang menggunakan akses untuk penambangan cryptocurrency. Otoritas Prancis menyarankan bahwa pelaku mungkin merupakan kelompok swasta yang menjual akses dan informasi kepada berbagai organisasi yang terkait dengan negara sambil melakukan operasi yang berorientasi pada keuntungan mereka sendiri.
Artikel Sebelumnya:
Senator Lummis Mengusulkan RUU untuk Mengecualikan Pajak Crypto Di Bawah $300
Bank Abu Dhabi Pertama Meluncurkan Obligasi Digital Pertama di Timur Tengah
0xProcessing: Pembayaran Crypto Terbukti 91% Lebih Aman Daripada Sistem Kartu
OpenAI Mengingatkan Agar Tidak Menggunakan Token Robinhood di Tengah Valuasi $300 Miliar
JD.com, Ant Group Dorong Stablecoin Yuan untuk Tantang Dolar
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Hacker Cina Mengeksploitasi Zero-Day Ivanti CSA Dalam Serangan Besar di Prancis
HomeNews* Grup ancaman China mengeksploitasi kerentanan zero-day di perangkat Ivanti Cloud Services Appliance (CSA) untuk menargetkan sektor-sektor kritis Prancis.
ANSSI melaporkan, “Infrastruktur serangan Houken terdiri dari berbagai elemen—termasuk VPN komersial dan server khusus.” HarfangLab, sebuah perusahaan Cybersecurity Prancis, menggambarkan pendekatan multi-pihak: satu pihak menemukan kerentanan perangkat lunak, kelompok kedua menggunakannya untuk akses jaringan, dan pihak ketiga melaksanakan serangan lanjutan. Menurut ANSSI, “Para operator di balik set intrusi UNC5174 dan Houken kemungkinan besar terutama mencari akses awal yang berharga untuk dijual kepada aktor yang terkait dengan negara yang mencari intelijen yang mendalam.”
Para penyerang menargetkan tiga kerentanan spesifik Ivanti CSA—CVE-2024-8963, CVE-2024-9380, dan CVE-2024-8190. Mereka menggunakan berbagai metode untuk mencuri kredensial dan mempertahankan akses sistem, seperti menginstal shell web PHP, memodifikasi skrip yang ada, atau menerapkan rootkit modul kernel. Alat seperti shell web Behinder dan NEO-reGeorg, pintu belakang GOREVERSE, dan proksi suo5 diamati digunakan.
Serangan tersebut juga melibatkan modul kernel Linux yang disebut "sysinitd.ko," yang memungkinkan penyerang untuk membajak semua lalu lintas masuk dan mengeksekusi perintah dengan hak istimewa administratif penuh. Beberapa penyerang dilaporkan memperbaiki kerentanan yang sama setelah mengeksploitasinya, kemungkinan untuk menghentikan kelompok lain dari menggunakan sistem yang sama.
Kampanye yang lebih luas mempengaruhi organisasi di seluruh Asia Tenggara dan pemerintah Barat, sektor pendidikan, LSM, dan outlet media. Dalam beberapa kasus, para penyerang menggunakan akses untuk penambangan cryptocurrency. Otoritas Prancis menyarankan bahwa pelaku mungkin merupakan kelompok swasta yang menjual akses dan informasi kepada berbagai organisasi yang terkait dengan negara sambil melakukan operasi yang berorientasi pada keuntungan mereka sendiri.
Artikel Sebelumnya: