منزل الأخبار * استغل مجموعة التهديدات الصينية ثغرات يوم الصفر في أجهزة Ivanti Cloud Services Appliance (CSA) لاستهداف القطاعات الحيوية الفرنسية.
الحملة أثرت على الهيئات الحكومية، والاتصالات، ووسائل الإعلام، والمالية، والنقل بدءًا من سبتمبر 2024.
استخدم المهاجمون أساليب متقدمة مثل الجذور الخلفية، والشبكات الافتراضية الخاصة التجارية، والأدوات مفتوحة المصدر للوصول الدائم إلى الشبكة.
الثغرات التي تم استغلالها تشمل CVE-2024-8963 و CVE-2024-9380 و CVE-2024-8190.
يبدو أن الحملة تشمل عدة جهات تهديد، حيث يسعى البعض لتحقيق مكاسب مالية بينما يوفر آخرون الوصول إلى مجموعات مرتبطة بالدولة.
أفادت السلطات الفرنسية بأن مجموعة قرصنة مقرها الصين أطلقت حملة هجمات ضد القطاعات الرئيسية في فرنسا، بما في ذلك الحكومة، والاتصالات، والإعلام، والمالية، والنقل. بدأت الحملة في سبتمبر 2024 وركزت على استغلال العديد من الثغرات الأمنية غير المرقعة - المعروفة باسم الثغرات الصفرية - في Ivanti Cloud Services Appliance (CSA).
إعلان - أكدت الوكالة الوطنية الفرنسية لأمن نظم المعلومات (ANSSI) أن المجموعة، التي تم تحديدها على أنها هوكين، تشارك في الاتصالات مع مجموعة التهديدات UNC5174، والمعروفة أيضًا باسم Uteus أو Uetus، التي تتعقبها Google Mandiant. وفقًا لـ ANSSI، قام المهاجمون بدمج استخدام ثغرات برمجية غير معروفة، وrootkit مخفي (أداة تخفي وجود المهاجم)، ومجموعة من البرامج مفتوحة المصدر التي طورها بشكل أساسي مبرمجون يتحدثون الصينية.
أفادت ANSSI، "إن بنية هجوم هوكين تتكون من عناصر متنوعة - بما في ذلك الشبكات الافتراضية الخاصة التجارية والخوادم المخصصة." وصفت HarfangLab، وهي شركة فرنسية للأمن السيبراني، نهجًا متعدد الأطراف: حيث تجد جهة ما ثغرات في البرمجيات، وتستخدم مجموعة ثانية هذه الثغرات للوصول إلى الشبكة، وتقوم أطراف ثالثة بتنفيذ هجمات لاحقة. وفقًا لـ ANSSI، "من المحتمل أن يكون المشغلون وراء مجموعات الاقتحام UNC5174 وهوكين يبحثون بشكل أساسي عن وصولات أولية قيمة لبيعها إلى جهة مرتبطة بالدولة تسعى للحصول على معلومات استخباراتية مفيدة."
استهدف المهاجمون ثلاث ثغرات محددة في Ivanti CSA—CVE-2024-8963 وCVE-2024-9380 وCVE-2024-8190. استخدموا طرقًا مختلفة لسرقة بيانات الاعتماد والحفاظ على وصول النظام، مثل تثبيت قذائف ويب PHP، وتعديل السكريبتات الموجودة، أو نشر جذر وحدة النواة. لوحظ استخدام أدوات مثل قذائف الويب Behinder وNEO-reGeorg، وBackdoor GOREVERSE، وProxy suo5.
تشمل الهجمات أيضًا وحدة نواة لينكس تُسمى "sysinitd.ko"، والتي تسمح للمهاجمين باختطاف جميع حركة المرور الواردة وتنفيذ الأوامر بصلاحيات إدارية كاملة. وذكرت بعض التقارير أن بعض المهاجمين قاموا بتصحيح نفس الثغرات بعد استغلالها، على الأرجح لمنع مجموعات أخرى من استخدام نفس الأنظمة.
أثرت الحملة الأوسع على المنظمات في جميع أنحاء جنوب شرق آسيا والحكومات الغربية وقطاعات التعليم والمنظمات غير الحكومية ووسائل الإعلام. في بعض الحالات، استخدم المهاجمون الوصول للتعدين بالعملات المشفرة. اقترحت السلطات الفرنسية أن الفاعلين قد يكونون مجموعة خاصة تبيع الوصول والمعلومات إلى منظمات مرتبطة بالدولة بينما تقوم بتنفيذ عمليات مدفوعة بالربح الخاصة بها.
المقالات السابقة:
السناتور لومييس يقترح مشروع قانون لاستثناء الضرائب على العملات المشفرة التي تقل عن 300 دولار
بنك أبوظبي الأول يطلق أول سند رقمي في الشرق الأوسط
0xProcessing: المدفوعات المشفرة تثبت أنها أكثر أمانًا بنسبة 91% من أنظمة بطاقات الائتمان
تحذر OpenAI من رموز Robinhood وسط تقييم بقيمة 300 مليار دولار
JD.com، مجموعة Ant تدفع من أجل عملة مستقرة باليوان لمنافسة الدولار
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
هاكرز صينيون يستغلون ثغرات صفرية في Ivanti CSA في هجوم كبير على فرنسا
منزل الأخبار * استغل مجموعة التهديدات الصينية ثغرات يوم الصفر في أجهزة Ivanti Cloud Services Appliance (CSA) لاستهداف القطاعات الحيوية الفرنسية.
أفادت ANSSI، "إن بنية هجوم هوكين تتكون من عناصر متنوعة - بما في ذلك الشبكات الافتراضية الخاصة التجارية والخوادم المخصصة." وصفت HarfangLab، وهي شركة فرنسية للأمن السيبراني، نهجًا متعدد الأطراف: حيث تجد جهة ما ثغرات في البرمجيات، وتستخدم مجموعة ثانية هذه الثغرات للوصول إلى الشبكة، وتقوم أطراف ثالثة بتنفيذ هجمات لاحقة. وفقًا لـ ANSSI، "من المحتمل أن يكون المشغلون وراء مجموعات الاقتحام UNC5174 وهوكين يبحثون بشكل أساسي عن وصولات أولية قيمة لبيعها إلى جهة مرتبطة بالدولة تسعى للحصول على معلومات استخباراتية مفيدة."
استهدف المهاجمون ثلاث ثغرات محددة في Ivanti CSA—CVE-2024-8963 وCVE-2024-9380 وCVE-2024-8190. استخدموا طرقًا مختلفة لسرقة بيانات الاعتماد والحفاظ على وصول النظام، مثل تثبيت قذائف ويب PHP، وتعديل السكريبتات الموجودة، أو نشر جذر وحدة النواة. لوحظ استخدام أدوات مثل قذائف الويب Behinder وNEO-reGeorg، وBackdoor GOREVERSE، وProxy suo5.
تشمل الهجمات أيضًا وحدة نواة لينكس تُسمى "sysinitd.ko"، والتي تسمح للمهاجمين باختطاف جميع حركة المرور الواردة وتنفيذ الأوامر بصلاحيات إدارية كاملة. وذكرت بعض التقارير أن بعض المهاجمين قاموا بتصحيح نفس الثغرات بعد استغلالها، على الأرجح لمنع مجموعات أخرى من استخدام نفس الأنظمة.
أثرت الحملة الأوسع على المنظمات في جميع أنحاء جنوب شرق آسيا والحكومات الغربية وقطاعات التعليم والمنظمات غير الحكومية ووسائل الإعلام. في بعض الحالات، استخدم المهاجمون الوصول للتعدين بالعملات المشفرة. اقترحت السلطات الفرنسية أن الفاعلين قد يكونون مجموعة خاصة تبيع الوصول والمعلومات إلى منظمات مرتبطة بالدولة بينما تقوم بتنفيذ عمليات مدفوعة بالربح الخاصة بها.
المقالات السابقة: