El martes, la Agencia Francesa de Ciberseguridad reveló que muchas entidades en todo el gobierno doméstico, las telecomunicaciones, los medios, los sectores de finanzas y transporte se vieron afectadas por una campaña maliciosa realizada por grupos de piratería chinos mediante el armamento de las vulnerabilidades de día cero en los dispositivos de servicios de servicios en la nube Ivanti (CSA).
La campaña detectada a principios de septiembre de 2024 se atribuye al único conjunto de intrusiones en código Houken, y está calificado como compartiendo cierto grado de superposición con los grupos de amenazas Google Mandiant rastreado bajo el apodo UNC5174 (también conocido como Uteus o Uetus).
«Los operadores usan vulnerabilidades de día cero y raíces sofisticadas, pero también utilizan una serie de herramientas de código abierto que los desarrolladores de habla china crean principalmente», dice Information Systems Security (ANSI) en Francia. «La infraestructura de ataque de Houken está compuesta por una variedad de factores, incluidas VPN comerciales y servidores dedicados».
La agencia teorizó que Houken probablemente sea utilizado por los primeros corredores de acceso desde 2023 con el objetivo de obtener una posición en la red objetivo. Luego lo compartió con otras actividades de amenaza que reflejan la actividad posterior a la minería después de la extracción, como señaló Harfanglab, lo que refleja un enfoque multipartidista para la explotación de vulnerabilidad.
«Los primeros partidos identificarán vulnerabilidades, y el segundo creará grandes oportunidades para crear oportunidades, el acceso se distribuirá a terceros y desarrollará aún más objetivos de interés», señaló la compañía francesa de seguridad cibernética a principios de febrero de este año.
«Los operadores detrás del conjunto de intrusiones de UNC5174 y Houken probablemente buscan un valioso acceso temprano para vender a actores asociados con estados que buscan principalmente inteligencia perspicaz», agregó la agencia.
En los últimos meses, UNC5174 se ha relacionado con un apalancamiento agresivo de los defectos de SAP Netweaver para proporcionar goreverse, una variante de Goreshell. Los equipos de piratería se han utilizado en el pasado para aprovechar las vulnerabilidades en las redes de Palo Alto, ConnectWise Screenconnect y F5 Big-IP Software para proporcionar malware de la luz de nieve y soltar una utilidad de túnel Golang llamada Goheavy.
Otro informe de Sentinelone Attributes Amenazing Leaders para invadir «las principales organizaciones de medios europeas» a fines de septiembre de 2024.
En el ataque documentado por ANSSI, se ha observado el atacante utilizando tres fallas de seguridad: el dispositivo Ivanti CSA, CVE-2024-8963, CVE-2024-9380 y CVE-2024-8190.
Modifique los scripts PHP existentes La implementación directa de los shells web PHP Inserte la funcionalidad de shell web e instale el módulo de kernel que actúa como rootkit
El ataque se caracteriza por el uso de conchas web disponibles públicamente como Beaker y Neo-Regegeorg, seguido por el desarrollo de Gorverse para mantener la persistencia después del movimiento externo. También emplea una herramienta de túnel proxy HTTP llamada un módulo de kernel de Linux llamado «Sysinitd.KO» documentada por Fortinet en octubre de 2024 y enero de 2025.
«Consiste en un módulo de kernel (sysinitd.ko) y un ejecutable de espacio de usuario (sysinitd) instalado en el dispositivo de destino mediante la ejecución de un script de shell: install.sh», dijo ANSSI. «Sysinitd.ko y Sysinitd permiten la ejecución remota de comandos con privilegios raíz al secuestrar el tráfico TCP entrante en todos los puertos e invocar el shell».
Eso no es todo. Además de realizar el reconocimiento y la manipulación en las zonas horarias de UTC+8 (compatibles con el tiempo estándar de China), se ha observado que los atacantes tratan de parchear la vulnerabilidad, lo que probablemente evitará la explotación de otras partes no relacionadas, agregó ANSSI.
Se sospecha que los actores de amenaza tienen un amplio rango de orientación que consiste en los sectores del gobierno y la educación en el sudeste asiático, organizaciones no gubernamentales en China, incluidos Hong Kong y Macao, y el gobierno occidental, defensa, educación, medios de comunicación y sectores de telecomunicaciones.
Además, las similitudes de marca registrada entre Houken y UNC5174 aumentaron la probabilidad de que un actor de amenaza común sea administrado. Dicho esto, en al menos un incidente, se dice que los actores de amenaza han armado el acceso a desplegar mineros de criptomonedas, destacando sus motivaciones económicas.
«Los actores de amenaza detrás del Houken y el conjunto de intrusiones de UNC5174 pueden estar tratando con empresas privadas y pueden vender acceso y datos valiosos a entidades relacionadas con varios estados, buscando sus propios intereses que llevan a las operaciones ventajosas», dijo Anssi.
Source link
