中国のハッカーがフランスの大規模攻撃でIvanti CSAのゼロデイを悪用

ホームニュース* 中国の脅威グループが、フランスの重要なセクターを標的にするために、Ivanti Cloud Services Appliance (CSA) デバイスのゼロデイ脆弱性を悪用しました。

• このキャンペーンは、2024年9月から政府、通信、メディア、金融、輸送機関に影響を与えました。
• 攻撃者は、持続的なネットワークアクセスのために、ルートキット、商用VPN、オープンソースツールなどの高度な手法を使用しました。
• 悪用された脆弱性には、CVE-2024-8963、CVE-2024-9380、およびCVE-2024-8190が含まれます。
• このキャンペーンは、いくつかの脅威アクターが関与しているようで、一部は金銭的利益を求め、他は国家関連のグループへのアクセスを提供している。 フランス当局は、中国を拠点とするハッキンググループが政府、通信、メディア、金融、交通などフランスの主要なセクターに対して攻撃キャンペーンを開始したと報告しました。このキャンペーンは2024年9月に始まり、Ivanti Cloud Services Appliance (CSA) デバイスのいくつかの未修正のセキュリティ脆弱性、いわゆるゼロデイを悪用することに焦点を当てました。

• 広告 - フランス国家情報システム安全保障庁(ANSSI)は、Houkenとして特定されたグループが、Google Mandiantによって追跡されている脅威クラスターUNC5174、別名UteusまたはUetusと関連していることを述べました。ANSSIによると、攻撃者は未知のソフトウェアの脆弱性、攻撃者の存在を隠すツール(隠れたルートキット)、および主に中国語を話すプログラマーによって開発されたさまざまなオープンソースプログラムを組み合わせました。

ANSSIは報告しました。「Houkenの攻撃インフラは、商業用VPNや専用サーバーなど、多様な要素で構成されています。」フランスのサイバーセキュリティ企業HarfangLabは、複数の関係者によるアプローチを説明しました。ある関係者がソフトウェアの脆弱性を見つけ、別のグループがそれをネットワークアクセスのために使用し、第三者がその後の攻撃を実行します。ANSSIによると、「UNC5174およびHoukenの侵入セットの背後にいるオペレーターは、主に価値のある初期アクセスを求めており、それを洞察に満ちた情報を求める国家関連のアクターに販売しようとしている可能性が高い。」

攻撃者は、特定の3つのIvanti CSAの脆弱性—CVE-2024-8963、CVE-2024-9380、およびCVE-2024-8190を標的にしました。彼らは、PHPウェブシェルのインストール、既存のスクリプトの改ざん、またはカーネルモジュールルートキットの展開など、さまざまな手法を用いて認証情報を盗み、システムアクセスを維持しました。BehinderやNEO-reGeorgウェブシェル、GOREVERSEバックドア、suo5プロキシなどのツールが使用されているのが観察されました。

攻撃には「sysinitd.ko」というLinuxカーネルモジュールも関与しており、攻撃者はすべての受信トラフィックをハイジャックし、完全な管理権限でコマンドを実行することができます。一部の攻撃者は、同じ脆弱性を悪用した後、他のグループが同じシステムを使用するのを防ぐために、同じ脆弱性をパッチしたと報告されています。

この広範なキャンペーンは、東南アジア全体の組織や西洋の政府、教育部門、NGO、メディアに影響を与えました。いくつかのケースでは、攻撃者は暗号通貨のマイニングのためにアクセスを利用しました。フランス当局は、攻撃者が国家に関連するさまざまな組織にアクセスと情報を販売しながら、自らの利益追求の操作を行っている私的グループである可能性があると示唆しました。

####前の記事:

• ルミス上院議員が300ドル未満の暗号税を免除する法案を提案
• アブダビ銀行、Middle East初のデジタルボンドを発表
• 0x処理中: 暗号通貨決済はカードシステムより91%安全であることが証明されました
• OpenAIは、3000億ドルの評価額の中でロビンフッドトークンに対して警告
• JD.comとAnt Groupがドルに挑むために人民元ステーブルコインを推進

-広告-