Ana SayfaHaberler* Çin tehdit grubu, Fransız kritik sektörlerini hedef almak için Ivanti Cloud Services Appliance (CSA) cihazlarındaki sıfır-gün açıklarını kullandı.
Kampanya, Eylül 2024 itibarıyla hükümet, telekom, medya, finans ve ulaşım organizasyonlarını etkiledi.
Saldırganlar, sürekli ağ erişimi için kök kitleri, ticari VPN'ler ve açık kaynaklı araçlar gibi gelişmiş yöntemler kullandı.
Sömürülen güvenlik açıkları arasında CVE-2024-8963, CVE-2024-9380 ve CVE-2024-8190 bulunmaktadır.
Kampanyanın birden fazla tehdit aktörünü içerdiği görünmektedir; bazıları finansal kazanç peşinde, diğerleri ise devlet bağlantılı gruplara erişim sağlamaktadır.
Fransız yetkililer, Çin merkezli bir hacking grubunun, hükümet, telekomünikasyon, medya, finans ve ulaştırma da dahil olmak üzere Fransa'nın ana sektörlerine karşı bir saldırı kampanyası başlattığını bildirdi. Kampanya Eylül 2024'te başladı ve Ivanti Cloud Services Appliance (CSA) cihazlarındaki birkaç yamalanmamış güvenlik açığını - sıfır gün olarak bilinen - istismar etmeye odaklandı.
Reklam - Fransız Ulusal Bilgi Sistemleri Güvenliği Ajansı (ANSSI), Houken olarak tanımlanan grubun, Google Mandiant tarafından izlenen UNC5174 tehdit kümesiyle bağlantıları olduğunu belirtti. ANSSI'ye göre, saldırganlar bilinmeyen yazılım açıklarının yanı sıra, saldırganın varlığını gizleyen bir kök kit ( ve esasen Çince konuşan programcılar tarafından geliştirilen bir dizi açık kaynaklı program kullandılar.
ANSSI, "Houken'ın saldırı altyapısı çeşitli unsurlardan oluşuyor - ticari VPN'ler ve özel sunucular da dahil." HarfangLab, Fransız bir Siber Güvenlik firması, çok taraflı bir yaklaşımı tanımladı: bir taraf yazılım açıklarını buluyor, ikinci grup bunları ağ erişimi için kullanıyor ve üçüncü taraflar takip eden saldırıları gerçekleştiriyor. ANSSI'ye göre, "UNC5174 ve Houken saldırı setlerinin arkasındaki operatörlerin muhtemelen değerli ilk erişimleri, içgörü sağlayan istihbarat arayan bir devlet bağlantılı aktöre satmak için aradığı düşünülüyor."
Saldırganlar üç belirli Ivanti CSA zayıflığını hedef aldı—CVE-2024-8963, CVE-2024-9380 ve CVE-2024-8190. Kimlik bilgilerini çalmak ve sistem erişimini sürdürmek için PHP web shell'leri kurmak, mevcut betikleri değiştirmek veya bir çekirdek modülü rootkit dağıtmak gibi farklı yöntemler kullandılar. Behinder ve NEO-reGeorg web shell'leri, GOREVERSE arka kapısı ve suo5 proxy gibi araçların kullanıldığı gözlemlendi.
Saldırılar ayrıca, saldırganların tüm gelen trafiği ele geçirmesine ve tam yönetici ayrıcalıkları ile komutlar yürütmesine olanak tanıyan "sysinitd.ko" adlı bir Linux çekirdek modülünü de içeriyordu. Bazı saldırganların, aynı sistemleri kullanmalarını engellemek amacıyla, onları istismar ettikten sonra aynı zayıflıkları yamanladığı bildirildi.
Kapsamlı kampanya, Güneydoğu Asya'daki ve Batılı hükümetler, eğitim sektörleri, STK'lar ve medya kuruluşları üzerindeki etkiledi. Bazı durumlarda, saldırganlar kripto para madenciliği için erişim sağladı. Fransız yetkililer, aktörlerin çeşitli devlet bağlantılı kuruluşlara erişim ve bilgi satan özel bir grup olabileceğini, kendi kâr odaklı operasyonlarını yürütürken önerdiler.
)# Önceki Makaleler:
Senatör Lummis, 300 Dolar Altındaki Kripto Vergilerini Muaf Tutacak Tasarıyı Önerdi
İlk Abu Dhabi Bankası, Orta Doğu'nun İlk Dijital Tahvilini Piyasaya Sürecek
0xProcessing: Kripto Ödemeler Kart Sistemlerinden %91 Daha Güvenli Olduğunu Kanıtlıyor
OpenAI, 300 milyar dolarlık değerleme karşısında Robinhood token'larına karşı uyarıyor
JD.com, Ant Group Yuan Stabilcoin İçin Dolar'a Karşı Mücadele Ediyor
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Çinli Hackerlar Ivanti CSA Sıfır Günü Açıklarını Büyük Fransa Saldırısında Kullanıyor
Ana SayfaHaberler* Çin tehdit grubu, Fransız kritik sektörlerini hedef almak için Ivanti Cloud Services Appliance (CSA) cihazlarındaki sıfır-gün açıklarını kullandı.
ANSSI, "Houken'ın saldırı altyapısı çeşitli unsurlardan oluşuyor - ticari VPN'ler ve özel sunucular da dahil." HarfangLab, Fransız bir Siber Güvenlik firması, çok taraflı bir yaklaşımı tanımladı: bir taraf yazılım açıklarını buluyor, ikinci grup bunları ağ erişimi için kullanıyor ve üçüncü taraflar takip eden saldırıları gerçekleştiriyor. ANSSI'ye göre, "UNC5174 ve Houken saldırı setlerinin arkasındaki operatörlerin muhtemelen değerli ilk erişimleri, içgörü sağlayan istihbarat arayan bir devlet bağlantılı aktöre satmak için aradığı düşünülüyor."
Saldırganlar üç belirli Ivanti CSA zayıflığını hedef aldı—CVE-2024-8963, CVE-2024-9380 ve CVE-2024-8190. Kimlik bilgilerini çalmak ve sistem erişimini sürdürmek için PHP web shell'leri kurmak, mevcut betikleri değiştirmek veya bir çekirdek modülü rootkit dağıtmak gibi farklı yöntemler kullandılar. Behinder ve NEO-reGeorg web shell'leri, GOREVERSE arka kapısı ve suo5 proxy gibi araçların kullanıldığı gözlemlendi.
Saldırılar ayrıca, saldırganların tüm gelen trafiği ele geçirmesine ve tam yönetici ayrıcalıkları ile komutlar yürütmesine olanak tanıyan "sysinitd.ko" adlı bir Linux çekirdek modülünü de içeriyordu. Bazı saldırganların, aynı sistemleri kullanmalarını engellemek amacıyla, onları istismar ettikten sonra aynı zayıflıkları yamanladığı bildirildi.
Kapsamlı kampanya, Güneydoğu Asya'daki ve Batılı hükümetler, eğitim sektörleri, STK'lar ve medya kuruluşları üzerindeki etkiledi. Bazı durumlarda, saldırganlar kripto para madenciliği için erişim sağladı. Fransız yetkililer, aktörlerin çeşitli devlet bağlantılı kuruluşlara erişim ve bilgi satan özel bir grup olabileceğini, kendi kâr odaklı operasyonlarını yürütürken önerdiler.
)# Önceki Makaleler: