Nhà báo* Nhóm đe dọa Trung Quốc đã khai thác lỗ hổng zero-day trong thiết bị Ivanti Cloud Services Appliance (CSA) để nhắm vào các lĩnh vực quan trọng của Pháp.
Chiến dịch đã ảnh hưởng đến các tổ chức chính phủ, viễn thông, truyền thông, tài chính và vận tải bắt đầu từ tháng 9 năm 2024.
Kẻ tấn công đã sử dụng các phương pháp tiên tiến như rootkits, VPN thương mại và các công cụ mã nguồn mở để truy cập mạng liên tục.
Các lỗ hổng bị khai thác bao gồm CVE-2024-8963, CVE-2024-9380 và CVE-2024-8190.
Chiến dịch dường như liên quan đến nhiều tác nhân đe dọa, với một số người tìm kiếm lợi nhuận tài chính và những người khác cung cấp quyền truy cập cho các nhóm liên kết với nhà nước.
Các cơ quan chức năng Pháp đã báo cáo rằng một nhóm hacker có trụ sở tại Trung Quốc đã khởi động một chiến dịch tấn công nhằm vào các lĩnh vực chính ở Pháp, bao gồm chính phủ, viễn thông, truyền thông, tài chính và giao thông vận tải. Chiến dịch này bắt đầu vào tháng 9 năm 2024 và tập trung vào việc khai thác một số lỗ hổng bảo mật chưa được vá—được gọi là zero-days—trong Ivanti Cloud Services Appliance (CSA).
Quảng cáo - Cơ quan Quốc gia về An ninh Hệ thống Thông tin Pháp (ANSSI) cho biết nhóm được xác định là Houken có liên kết với cụm mối đe dọa UNC5174, còn được gọi là Uteus hoặc Uetus, được theo dõi bởi Google Mandiant. Theo ANSSI, những kẻ tấn công đã kết hợp việc sử dụng các lỗ hổng phần mềm chưa biết, một rootkit ẩn (công cụ ẩn sự hiện diện của kẻ tấn công), và một loạt các chương trình mã nguồn mở chủ yếu được phát triển bởi các lập trình viên nói tiếng Trung.
ANSSI báo cáo, “Hạ tầng tấn công của Houken được tạo thành từ nhiều yếu tố khác nhau—bao gồm các VPN thương mại và các máy chủ chuyên dụng.” HarfangLab, một công ty An ninh mạng của Pháp, mô tả một cách tiếp cận đa bên: một bên tìm kiếm lỗ hổng phần mềm, một nhóm thứ hai sử dụng chúng để truy cập mạng, và các bên thứ ba thực hiện các cuộc tấn công tiếp theo. Theo ANSSI, “Các nhà điều hành đứng sau các bộ xâm nhập UNC5174 và Houken có khả năng chủ yếu tìm kiếm các quyền truy cập ban đầu có giá trị để bán cho một tác nhân liên kết với nhà nước đang tìm kiếm thông tin tình báo sâu sắc.”
Kẻ tấn công đã nhắm đến ba lỗ hổng cụ thể trong Ivanti CSA—CVE-2024-8963, CVE-2024-9380 và CVE-2024-8190. Họ đã sử dụng các phương pháp khác nhau để đánh cắp thông tin xác thực và duy trì quyền truy cập hệ thống, chẳng hạn như cài đặt các web shell PHP, sửa đổi các script hiện có hoặc triển khai một rootkit mô-đun hạt nhân. Các công cụ như các web shell Behinder và NEO-reGeorg, backdoor GOREVERSE và proxy suo5 đã được quan sát thấy đang được sử dụng.
Các cuộc tấn công cũng liên quan đến một mô-đun kernel Linux có tên là "sysinitd.ko", cho phép kẻ tấn công chiếm đoạt tất cả lưu lượng truy cập vào và thực thi các lệnh với quyền quản trị đầy đủ. Một số kẻ tấn công được báo cáo đã vá các lỗ hổng tương tự sau khi khai thác chúng, có thể để ngăn chặn các nhóm khác sử dụng cùng một hệ thống.
Chiến dịch rộng lớn hơn đã ảnh hưởng đến các tổ chức trên toàn Đông Nam Á và các chính phủ phương Tây, các lĩnh vực giáo dục, các tổ chức phi chính phủ và các phương tiện truyền thông. Trong một số trường hợp, những kẻ tấn công đã sử dụng quyền truy cập để khai thác tiền điện tử. Các cơ quan chức năng Pháp gợi ý rằng những kẻ này có thể là một nhóm tư nhân bán quyền truy cập và thông tin cho các tổ chức liên kết với nhà nước khác nhau trong khi tiến hành các hoạt động vì lợi nhuận của riêng họ.
Bài viết trước:
Thượng nghị sĩ Lummis đề xuất dự luật miễn thuế tiền điện tử dưới 300 đô la
Ngân hàng Abu Dhabi đầu tiên ra mắt trái phiếu kỹ thuật số đầu tiên tại Trung Đông
0xProcessing: Thanh Toán Tiền Điện Tử An Toàn Hơn 91% So Với Hệ Thống Thẻ
OpenAI Cảnh Báo Về Các Token Robinhood Giữa Lúc Định Giá 300 Tỷ USD
JD.com, Ant Group thúc đẩy stablecoin nhân dân tệ để thách thức đồng đô la
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Các Hacker Trung Quốc khai thác các lỗ hổng Zero-Day của Ivanti CSA trong cuộc tấn công lớn tại Pháp
Nhà báo* Nhóm đe dọa Trung Quốc đã khai thác lỗ hổng zero-day trong thiết bị Ivanti Cloud Services Appliance (CSA) để nhắm vào các lĩnh vực quan trọng của Pháp.
ANSSI báo cáo, “Hạ tầng tấn công của Houken được tạo thành từ nhiều yếu tố khác nhau—bao gồm các VPN thương mại và các máy chủ chuyên dụng.” HarfangLab, một công ty An ninh mạng của Pháp, mô tả một cách tiếp cận đa bên: một bên tìm kiếm lỗ hổng phần mềm, một nhóm thứ hai sử dụng chúng để truy cập mạng, và các bên thứ ba thực hiện các cuộc tấn công tiếp theo. Theo ANSSI, “Các nhà điều hành đứng sau các bộ xâm nhập UNC5174 và Houken có khả năng chủ yếu tìm kiếm các quyền truy cập ban đầu có giá trị để bán cho một tác nhân liên kết với nhà nước đang tìm kiếm thông tin tình báo sâu sắc.”
Kẻ tấn công đã nhắm đến ba lỗ hổng cụ thể trong Ivanti CSA—CVE-2024-8963, CVE-2024-9380 và CVE-2024-8190. Họ đã sử dụng các phương pháp khác nhau để đánh cắp thông tin xác thực và duy trì quyền truy cập hệ thống, chẳng hạn như cài đặt các web shell PHP, sửa đổi các script hiện có hoặc triển khai một rootkit mô-đun hạt nhân. Các công cụ như các web shell Behinder và NEO-reGeorg, backdoor GOREVERSE và proxy suo5 đã được quan sát thấy đang được sử dụng.
Các cuộc tấn công cũng liên quan đến một mô-đun kernel Linux có tên là "sysinitd.ko", cho phép kẻ tấn công chiếm đoạt tất cả lưu lượng truy cập vào và thực thi các lệnh với quyền quản trị đầy đủ. Một số kẻ tấn công được báo cáo đã vá các lỗ hổng tương tự sau khi khai thác chúng, có thể để ngăn chặn các nhóm khác sử dụng cùng một hệ thống.
Chiến dịch rộng lớn hơn đã ảnh hưởng đến các tổ chức trên toàn Đông Nam Á và các chính phủ phương Tây, các lĩnh vực giáo dục, các tổ chức phi chính phủ và các phương tiện truyền thông. Trong một số trường hợp, những kẻ tấn công đã sử dụng quyền truy cập để khai thác tiền điện tử. Các cơ quan chức năng Pháp gợi ý rằng những kẻ này có thể là một nhóm tư nhân bán quyền truy cập và thông tin cho các tổ chức liên kết với nhà nước khác nhau trong khi tiến hành các hoạt động vì lợi nhuận của riêng họ.
Bài viết trước: