Uit het Franse cybersecurity-bureau is dinsdag onthuld dat een aantal entiteiten die overheid, telecommunicatie, media, financiën en transportsectoren in het land omvatten, werden getroffen door een kwaadaardige campagne die door een Chinese hackgroep werd ondernomen door verschillende nul-daagse kwetsbaarheden te bewapenen in Ivanti Cloud Services Appliance (CSA).
De campagne, gedetecteerd in het begin van september 2024, is toegeschreven aan een afzonderlijke inbraakset met de codenaam Houkendie wordt beoordeeld om een niveau overlappingen te delen met een bedreigingscluster gevolgd door Google Mandiant onder de naam van de naam UNC5174 (aka uteus of Uetus).
“Terwijl de operators nul-day kwetsbaarheden en een geavanceerde rootkit gebruiken, gebruiken ze ook een breed aantal open-source tools die meestal zijn gemaakt door Chinese sprekende ontwikkelaars,” zei het Franse nationale agentschap voor de beveiliging van informatiesystemen (ANSSI). “De aanvalsinfrastructuur van Houken bestaat uit verschillende elementen – inclusief commerciële VPN’s en toegewijde servers.”
Het bureau theoretiseerde dat Houken waarschijnlijk wordt gebruikt door een eerste toegangsmakelaar sinds 2023 met als doel een voet aan de grond te krijgen in doelnetwerken en vervolgens gedeeld met andere dreigingsactoren die geïnteresseerd zijn in het uitvoeren van follow-on post-exploitatie-activiteiten, een weerspiegeling van een multi-party benadering van kwetsbaarheidsuitbuiting, zoals opgemerkt door Harfanglab.
“Een eerste partij identificeert kwetsbaarheden, een tweede gebruikt ze op schaal om kansen te creëren, waarna toegang wordt verdeeld over derden die verder proberen om interessante doelen te ontwikkelen,” merkte het Franse cybersecuritybedrijf eerder in februari op.
“De operators achter de UNC5174- en Houken-inbraaksets zijn waarschijnlijk in de eerste plaats op zoek naar waardevolle initiële toegang om te verkopen aan een door de staat gekoppelde acteur die inzichtelijke intelligentie zoekt,” voegde het bureau eraan toe.
In de afgelopen maanden is UNC5174 gekoppeld aan de actieve uitbuiting van SAP NetWeaver -fouten om Gorevers te leveren, een variant van Goreshell. De hacking crew heeft ook gebruik gemaakt van kwetsbaarheden in Palo Alto Networks, ConnectWise ScreenConnect en F5 Big-IP-software in het verleden om de Snowlight-malware te leveren, dat vervolgens wordt gebruikt om een Golang-tunnelhulpprogramma te laten vallen genaamd Goheavy.
Een ander rapport van Sentinelone schreef de dreigingsacteur aan een inbreuk op een “toonaangevende Europese mediaorganisatie” eind september 2024.
In de aanvallen die door ANSSI zijn gedocumenteerd, zijn de aanvallers waargenomen met het gebruik van drie beveiligingsdefecten in ivanti CSA-apparaten, CVE-2024-8963, CVE-2024-9380, en CVE-2024-8190, als nultijd om credenties te verkrijgen om een van de drie methoden te gebruiken-
- Direct PHP -webschalen implementeren
- Het wijzigen van bestaande PHP -scripts om web shell -mogelijkheden te injecteren, en
- Het installeren van een kernelmodule die dient als een rootkit
De aanvallen worden gekenmerkt door het gebruik van openbaar beschikbare webschalen zoals achteraf en neo-regeorg, gevolgd door de inzet van Gorverse om persistentie na laterale bewegingen te behouden. Ook wordt een HTTP -proxy -tunnelingtool genaamd SUO5 en een Linux -kernelmodule genaamd “Sysinitd.Ko” die in oktober 2024 en januari 2025 werd gedocumenteerd, die werd gedocumenteerd door Fortinet, die werd gedocumenteerd door Fortinet.
“Het bestaat uit een kernelmodule (sysinitd.ko) en een uitvoerbaar bestand (SYSINITD) van de gebruikersruimte die op het beoogde apparaat is geïnstalleerd door de uitvoering van een shell-script: install.sh,” zei ANSSI. “Door inkomende TCP -verkeer over alle poorten te kapen en Shells aan te roepen, staat Sysinitd.ko en Sysinitd de externe uitvoering van een opdracht met rootprivileges toe.”
Dat is niet alles. Naast het uitvoeren van verkenning en het werken in de UTC+8 -tijdzone (die overeenkomt met de standaardtijd van China), zijn de aanvallers waargenomen om de kwetsbaarheden te patchen, waarschijnlijk om exploitatie door andere niet -gerelateerde actoren te voorkomen, voegde ANSSi eraan toe.
Er wordt vermoed dat de dreigingsactoren een breed targetingbereik hebben, bestaande uit overheids- en onderwijssectoren in Zuidoost-Azië, niet-gouvernementele organisaties in China, waaronder Hong Kong en Macau, en overheidsinstellingen, defensie, onderwijs, media of telecommunicatiesectoren in het Westen.
Bovendien hebben de handelsovereenkomsten tussen Houken en UNC5174 de mogelijkheid verhoogd dat ze worden beheerd door een gemeenschappelijke dreigingsacteur. Dat gezegd hebbende, althans in één incident, zou de dreigingsacteurs de toegang hebben bewapend om cryptocurrency -mijnwerkers in te zetten en hun financiële motivaties onderstreept.
“De dreigingsacteur achter de indringers van Houken en UNC5174 kan overeenkomen met een particuliere entiteit, die toegang en waardevolle gegevens verkopen aan verschillende door de staat gekoppelde instanties, terwijl ze zijn eigen belangen zoekt met lucratieve georiënteerde operaties,” zei ANSSI.
