- 19,440
- 40
- 8 Ноя 2022
Крупнейшие системы Европы стали частью чужого бизнеса, причём незаметно для владельцев.
Французское агентство по кибербезопасности Для просмотра ссылки Войдиили Зарегистрируйся о масштабной атаке, затронувшей ключевые отрасли страны. Под прицелом оказались государственные структуры, телекоммуникационные компании, представители медиаиндустрии, финансовый сектор и транспортные организации. За вредоносной кампанией стоит китайская хакерская группа, которая использовала неизвестные ранее уязвимости в устройствах Ivanti Cloud Services Appliance (CSA).
Обнаруженные атаки начались в сентябре 2024 года. Ответственность за них возложена на группировку Houken, деятельность которой, по мнению специалистов, пересекается с активностью киберпреступного кластера UNC5174, также известного как Uteus или Uetus, за которым ранее наблюдали специалисты Google Mandiant.
Французское Национальное агентство безопасности информационных систем (ANSSI) Для просмотра ссылки Войдиили Зарегистрируйся , что злоумышленники применяли не только уязвимости нулевого дня и сложный руткит, но и широкий спектр инструментов с открытым исходным кодом, разработанных преимущественно китаеязычными программистами. Инфраструктура Houken включает коммерческие VPN и выделенные серверы, что позволило эффективно скрывать источник атак.
По мнению французских специалистов, Houken активно используется так называемыми брокерами первоначального доступа с 2023 года. Эти посредники взламывают системы, а затем передают доступы другим киберпреступникам, которые продолжают эксплуатацию скомпрометированных сетей. Такой подход предполагает участие сразу нескольких группировок, каждая из которых выполняет свою часть атаки — от выявления уязвимостей до их монетизации.
Компания HarfangLab Для просмотра ссылки Войдиили Зарегистрируйся , что сначала одна группа находит Для просмотра ссылки Войди или Зарегистрируйся , затем другая масштабно её использует для проникновения в сети, после чего полученные доступы продаются заинтересованным сторонам — чаще всего связанным с государственными структурами.
Эксперты полагают, что основная цель групп UNC5174 и Houken — получение доступа к перспективным объектам и последующая их продажа государственным заказчикам, заинтересованным в разведывательной информации. При этом преступники не ограничиваются кибер Для просмотра ссылки Войдиили Зарегистрируйся — в одном из эпизодов зафиксировано использование доступа для установки майнеров криптовалюты, что свидетельствует о финансовых мотивах атакующих.
Ранее UNC5174 связывали с атаками на системы SAP NetWeaver, где злоумышленники применяли вредоносное ПО GOREVERSE, являющееся вариантом GoReShell. Также этой группировке приписывают атаки с использованием уязвимостей в продуктах Palo Alto Networks, Connectwise ScreenConnect и F5 BIG-IP, через которые распространялось вредоносное ПО SNOWLIGHT. Последнее служит для установки туннелирующего инструмента на базе языка Go под названием GOHEAVY.
Компания SentinelOne Для просмотра ссылки Войдиили Зарегистрируйся , что этой же группировкой была взломана крупная европейская медиакомпания в сентябре 2024 года. В атаке на французские организации преступники использовали три уязвимости в Ivanti CSA — Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся . Эти уязвимости применялись как неизвестные ранее, что позволяло злоумышленникам незаметно проникать в системы, получать учётные данные и закрепляться в инфраструктуре.
Для закрепления в сетях злоумышленники применяли три способа. Они устанавливали PHP-вебшеллы напрямую, либо модифицировали уже существующие PHP-скрипты, добавляя в них скрытые функции вебшеллов. Кроме того, использовали руткит, внедряемый на уровне ядра системы.
Преступники активно применяли известные публичные вебшеллы, такие как Behinder и neo-reGeorg. После закрепления следовал этап бокового перемещения внутри сети с помощью GOREVERSE. Также применялся HTTP-прокси-туннель suo5 и модуль ядра Linux под названием «sysinitd.ko», ранее зафиксированный специалистами Fortinet.
По данным ANSSI, модуль «sysinitd.ko» и связанный с ним пользовательский исполняемый файл «sysinitd» устанавливались на целевых устройствах через сценарий install.sh. Эта связка позволяла перехватывать весь входящий TCP-трафик и выполнять команды с правами суперпользователя.
Кроме технических приёмов, специалисты обратили внимание на характерную черту злоумышленников — они действовали из временной зоны UTC+8, что соответствует времени Китая. Также преступники пытались устранять обнаруженные уязвимости после их эксплуатации, чтобы заблокировать доступ к системам другим хакерским группам.
По мнению ANSSI, масштаб атак указывает на широкий перечень целей. Среди них — государственные и образовательные учреждения Юго-Восточной Азии, неправительственные организации в Китае, включая Гонконг и Макао, а также государственные, оборонные, образовательные, медиа- и телекоммуникационные структуры в западных странах.
Сходство методов Houken и UNC5174 позволяет предположить, что за обеими группами стоит один и тот же преступный актёр, действующий как частная структура, торгующая доступами и конфиденциальной информацией, а также ведущая собственные прибыльные операции.
Французское агентство по кибербезопасности Для просмотра ссылки Войди
Обнаруженные атаки начались в сентябре 2024 года. Ответственность за них возложена на группировку Houken, деятельность которой, по мнению специалистов, пересекается с активностью киберпреступного кластера UNC5174, также известного как Uteus или Uetus, за которым ранее наблюдали специалисты Google Mandiant.
Французское Национальное агентство безопасности информационных систем (ANSSI) Для просмотра ссылки Войди
По мнению французских специалистов, Houken активно используется так называемыми брокерами первоначального доступа с 2023 года. Эти посредники взламывают системы, а затем передают доступы другим киберпреступникам, которые продолжают эксплуатацию скомпрометированных сетей. Такой подход предполагает участие сразу нескольких группировок, каждая из которых выполняет свою часть атаки — от выявления уязвимостей до их монетизации.
Компания HarfangLab Для просмотра ссылки Войди
Эксперты полагают, что основная цель групп UNC5174 и Houken — получение доступа к перспективным объектам и последующая их продажа государственным заказчикам, заинтересованным в разведывательной информации. При этом преступники не ограничиваются кибер Для просмотра ссылки Войди
Ранее UNC5174 связывали с атаками на системы SAP NetWeaver, где злоумышленники применяли вредоносное ПО GOREVERSE, являющееся вариантом GoReShell. Также этой группировке приписывают атаки с использованием уязвимостей в продуктах Palo Alto Networks, Connectwise ScreenConnect и F5 BIG-IP, через которые распространялось вредоносное ПО SNOWLIGHT. Последнее служит для установки туннелирующего инструмента на базе языка Go под названием GOHEAVY.
Компания SentinelOne Для просмотра ссылки Войди
Для закрепления в сетях злоумышленники применяли три способа. Они устанавливали PHP-вебшеллы напрямую, либо модифицировали уже существующие PHP-скрипты, добавляя в них скрытые функции вебшеллов. Кроме того, использовали руткит, внедряемый на уровне ядра системы.
Преступники активно применяли известные публичные вебшеллы, такие как Behinder и neo-reGeorg. После закрепления следовал этап бокового перемещения внутри сети с помощью GOREVERSE. Также применялся HTTP-прокси-туннель suo5 и модуль ядра Linux под названием «sysinitd.ko», ранее зафиксированный специалистами Fortinet.
По данным ANSSI, модуль «sysinitd.ko» и связанный с ним пользовательский исполняемый файл «sysinitd» устанавливались на целевых устройствах через сценарий install.sh. Эта связка позволяла перехватывать весь входящий TCP-трафик и выполнять команды с правами суперпользователя.
Кроме технических приёмов, специалисты обратили внимание на характерную черту злоумышленников — они действовали из временной зоны UTC+8, что соответствует времени Китая. Также преступники пытались устранять обнаруженные уязвимости после их эксплуатации, чтобы заблокировать доступ к системам другим хакерским группам.
По мнению ANSSI, масштаб атак указывает на широкий перечень целей. Среди них — государственные и образовательные учреждения Юго-Восточной Азии, неправительственные организации в Китае, включая Гонконг и Макао, а также государственные, оборонные, образовательные, медиа- и телекоммуникационные структуры в западных странах.
Сходство методов Houken и UNC5174 позволяет предположить, что за обеими группами стоит один и тот же преступный актёр, действующий как частная структура, торгующая доступами и конфиденциальной информацией, а также ведущая собственные прибыльные операции.
- Источник новости
- www.securitylab.ru
