HomeNews* Grupo de ameaça chinês explorou vulnerabilidades de dia zero em dispositivos Ivanti Cloud Services Appliance (CSA) para atacar setores críticos franceses.
A campanha afetou organizações governamentais, de telecomunicações, de mídia, financeiras e de transporte a partir de setembro de 2024.
Os atacantes utilizaram métodos avançados como rootkits, VPNs comerciais e ferramentas de código aberto para acesso persistente à rede.
As vulnerabilidades exploradas incluem CVE-2024-8963, CVE-2024-9380 e CVE-2024-8190.
A campanha parece envolver múltiplos atores de ameaça, com alguns buscando ganho financeiro e outros fornecendo acesso a grupos vinculados ao estado.
As autoridades francesas relataram que um grupo de hackers baseado na China lançou uma campanha de ataque contra grandes setores na França, incluindo governo, telecomunicações, mídia, finanças e transporte. A campanha começou em setembro de 2024 e focou na exploração de várias falhas de segurança não corrigidas—conhecidas como zero-days—em Ivanti Cloud Services Appliance (CSA) dispositivos.
Publicidade - A Agência Nacional Francesa para a Segurança dos Sistemas de Informação (ANSSI) afirmou que o grupo, identificado como Houken, compartilha conexões com o cluster de ameaças UNC5174, também chamado de Uteus ou Uetus, rastreado pelo Google Mandiant. De acordo com a ANSSI, os atacantes combinaram o uso de vulnerabilidades de software desconhecidas, um rootkit oculto ( uma ferramenta que oculta a presença do atacante), e uma variedade de programas de código aberto desenvolvidos principalmente por programadores que falam chinês.
A ANSSI relatou: “A infraestrutura de ataque do Houken é composta por elementos diversos—incluindo VPNs comerciais e servidores dedicados.” A HarfangLab, uma empresa de cibersegurança francesa, descreveu uma abordagem multipartidária: uma parte encontra vulnerabilidades de software, um segundo grupo as utiliza para acesso à rede, e terceiros realizam ataques subsequentes. De acordo com a ANSSI, “Os operadores por trás dos conjuntos de intrusão UNC5174 e Houken estão provavelmente procurando principalmente acessos iniciais valiosos para vender a um ator ligado a um estado que busca inteligência perspicaz.”
Os atacantes visaram três vulnerabilidades específicas do Ivanti CSA—CVE-2024-8963, CVE-2024-9380 e CVE-2024-8190. Eles usaram métodos diferentes para roubar credenciais e manter o acesso ao sistema, como instalar shells web PHP, modificar scripts existentes ou implantar um rootkit de módulo do kernel. Ferramentas como os shells web Behinder e NEO-reGeorg, o backdoor GOREVERSE e o proxy suo5 foram observados em uso.
Os ataques também envolveram um módulo do kernel Linux chamado "sysinitd.ko", que permite aos atacantes sequestrar todo o tráfego de entrada e executar comandos com privilégios administrativos completos. Alguns atacantes supostamente corrigiram as mesmas vulnerabilidades após explorá-las, provavelmente para impedir que outros grupos usassem os mesmos sistemas.
A campanha mais ampla afetou organizações em todo o Sudeste Asiático e governos ocidentais, setores de educação, ONGs e meios de comunicação. Em alguns casos, os atacantes usaram o acesso para mineração de criptomoeda. As autoridades francesas sugeriram que os atores poderiam ser um grupo privado vendendo acesso e informações para várias organizações ligadas ao estado, enquanto realizavam suas próprias operações com fins lucrativos.
Artigos Anteriores:
A Senadora Lummis Propõe Projeto de Lei para Isentar Impostos sobre Criptoativos Abaixo de 300$
O First Abu Dhabi Bank vai lançar o primeiro título digital do Médio Oriente.
0xProcessing: Pagamentos Cripto Provam Ser 91% Mais Seguros Que Sistemas de Cartões
OpenAI Adverte Contra os Tokens Robinhood Amid $300 Billion Valuation
JD.com e Ant Group impulsionam stablecoin em yuan para desafiar o dólar
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Hackers Chineses Exploraram Vulnerabilidades Zero-Day do Ivanti CSA em Grande Ataque na França
HomeNews* Grupo de ameaça chinês explorou vulnerabilidades de dia zero em dispositivos Ivanti Cloud Services Appliance (CSA) para atacar setores críticos franceses.
A ANSSI relatou: “A infraestrutura de ataque do Houken é composta por elementos diversos—incluindo VPNs comerciais e servidores dedicados.” A HarfangLab, uma empresa de cibersegurança francesa, descreveu uma abordagem multipartidária: uma parte encontra vulnerabilidades de software, um segundo grupo as utiliza para acesso à rede, e terceiros realizam ataques subsequentes. De acordo com a ANSSI, “Os operadores por trás dos conjuntos de intrusão UNC5174 e Houken estão provavelmente procurando principalmente acessos iniciais valiosos para vender a um ator ligado a um estado que busca inteligência perspicaz.”
Os atacantes visaram três vulnerabilidades específicas do Ivanti CSA—CVE-2024-8963, CVE-2024-9380 e CVE-2024-8190. Eles usaram métodos diferentes para roubar credenciais e manter o acesso ao sistema, como instalar shells web PHP, modificar scripts existentes ou implantar um rootkit de módulo do kernel. Ferramentas como os shells web Behinder e NEO-reGeorg, o backdoor GOREVERSE e o proxy suo5 foram observados em uso.
Os ataques também envolveram um módulo do kernel Linux chamado "sysinitd.ko", que permite aos atacantes sequestrar todo o tráfego de entrada e executar comandos com privilégios administrativos completos. Alguns atacantes supostamente corrigiram as mesmas vulnerabilidades após explorá-las, provavelmente para impedir que outros grupos usassem os mesmos sistemas.
A campanha mais ampla afetou organizações em todo o Sudeste Asiático e governos ocidentais, setores de educação, ONGs e meios de comunicação. Em alguns casos, os atacantes usaram o acesso para mineração de criptomoeda. As autoridades francesas sugeriram que os atores poderiam ser um grupo privado vendendo acesso e informações para várias organizações ligadas ao estado, enquanto realizavam suas próprias operações com fins lucrativos.
Artigos Anteriores: