中国黑客利用Ivanti CSA零日漏洞在法国发起重大攻击

首页新闻* 中国威胁组织利用Ivanti云服务设备(CSA)中的零日漏洞，针对法国关键行业。

• 该活动影响了政府、电信、媒体、金融和运输组织，从2024年9月开始。
• 攻击者使用了诸如根套件、商业VPN和开源工具等先进方法，以获得持续的网络访问。
• 被利用的漏洞包括 CVE-2024-8963、CVE-2024-9380 和 CVE-2024-8190。
• 该活动似乎涉及多个威胁行为者，其中一些寻求经济利益，而其他人则为与国家相关的团体提供访问权限。 法国当局报告称，一个中国黑客组织对法国的主要行业发起了攻击活动，包括政府、通信、媒体、金融和交通。该活动始于2024年9月，重点利用多个未修补的安全漏洞——即零日漏洞——在**Ivanti Cloud Services Appliance (CSA)**设备上。

• 广告 - 法国国家信息系统安全局(ANSSI)表示，该组织被识别为Houken，与威胁集群UNC5174有联系，后者也被称为Uteus或Uetus，由谷歌Mandiant跟踪。根据ANSSI的说法，攻击者结合了未知软件漏洞的使用、一个隐藏攻击者存在的隐蔽根工具(，以及一系列主要由讲中文程序员开发的开源程序。

ANSSI 报告称，“Houken 的攻击基础设施由多种元素组成——包括商业 VPN 和专用服务器。” 法国网络安全公司 HarfangLab 描述了一种多方合作的方法：一方发现软件漏洞，第二组利用这些漏洞进行网络访问，第三方则进行后续攻击。根据 ANSSI 的说法，“UNC5174 和 Houken 入侵组背后的操作者可能主要是在寻找有价值的初始访问权限，以出售给寻求深入情报的国家相关行动者。”

攻击者针对三个特定的Ivanti CSA漏洞——CVE-2024-8963、CVE-2024-9380和CVE-2024-8190。他们使用不同的方法来窃取凭证并维持系统访问，例如安装PHP网页外壳、修改现有脚本或部署内核模块rootkit。观察到使用了Behinder和NEO-reGeorg网页外壳、GOREVERSE后门和suo5代理等工具。

这些攻击还涉及一个名为“sysinitd.ko”的Linux内核模块，攻击者可以通过它劫持所有入站流量，并以完全的管理权限执行命令。据报道，一些攻击者在利用这些漏洞后对其进行了修补，可能是为了阻止其他团体使用相同的系统。

更广泛的活动影响了整个东南亚和西方政府、教育部门、非政府组织和媒体机构。在某些情况下，攻击者利用访问权限进行 cryptocurrency 挖矿。法国当局暗示这些行为者可能是一个私营团体，向各种与国家有关的组织出售访问权限和信息，同时进行自身以盈利为目的的操作。

)# 之前的文章:

• 卢米斯参议员提议法案，免除300美元以下的加密货币税
• 阿布扎比银行将推出中东首个数字债券
• 0x处理：加密支付比卡系统安全91%
• OpenAI 警告在 3000 亿估值下使用 Robinhood 代币
• 京东、蚂蚁集团推动人民币稳定币以挑战美元

• 广告 -