Вопубликованном во вторник отчете французского агентства по кибербезопасности говорится, что в прошлом году во время серии атак во Франции из-за трех уязвимостей нулевого дня, затронувших устройства Ivanti Cloud Services Appliance, пострадали несколько важнейших секторов инфраструктуры.
По данным Французского национального агентства по безопасности информационных систем, государственные учреждения и организации в сфере телекоммуникаций, СМИ, финансов и транспорта с начала сентября по конец ноября 2024 года подверглись широкому распространению уязвимостей нулевого дня CVE-2024-8190 , CVE-2024-8963 и CVE-2024-9380 .
По данным Mandiant, французские власти приписывают атаки UNC5174, бывшему участнику китайских хакерских группировок, вероятно, работающему по контракту на Министерство государственной безопасности Китая. Злоумышленник, предположительно использующий псевдоним « Uteus », ранее эксплуатировал уязвимости периферийных устройств в ConnectWise ScreenConnect, F5 BIG-IP, Atlassian Confluence, ядре Linus и межсетевых экранах Zyxel.
Власти Франции пришли к выводу, что UNC5174 использовал уникальный набор вредоносных программ, получивший название «Houken», который включал уязвимости нулевого дня, сложный руткит, различные инструменты с открытым исходным кодом, коммерческие VPN и выделенные серверы. По словам официальных лиц, Houken и UNC5174, вероятно, управляются одним и тем же злоумышленником — посредником первоначального доступа, который также похищает учётные данные и использует механизмы для получения постоянного доступа к сетям жертвы.
«Хотя использование уязвимостей на периферийных устройствах уже задокументировано, использование уязвимостей нулевого дня злоумышленником, связанным с UNC5174, является новым», — говорится в отчёте французского агентства по кибербезопасности. «Операторы, стоящие за наборами атак UNC5174 и Houken, вероятно, в первую очередь стремятся получить ценный первоначальный доступ для продажи связанному с государством субъекту, который ищет ценную разведывательную информацию».
В январе Агентство по кибербезопасности и безопасности инфраструктуры выпустило предупреждение о том, что злоумышленники объединили три уязвимости нулевого дня Ivanti в цепочку, чтобы получить первоначальный доступ, провести удаленное выполнение кода, получить учетные данные и внедрить веб-оболочки в сети жертв.
Исследователи Sysdig в апреле заявили, что наблюдали, как спонсируемая государством китайская хакерская группа UNC5174 использует агрессивные инструменты безопасности с открытым исходным кодом , такие как VShell и WebSockets, чтобы замаскироваться под более распространенную деятельность киберпреступников.
Многочисленные злоумышленники, включая связанные с Китаем шпионские группы, неоднократно эксплуатировали многочисленные уязвимости в продуктах Ivanti. Ivanti — рецидивист , поставляющий программное обеспечение с большим количеством уязвимостей — больше, чем любой другой поставщик в этой сфере с начала прошлого года — как минимум для 10 различных линеек продуктов с 2021 года.
Каталог известных эксплуатируемых уязвимостей CISA содержит 30 дефектов Ivanti за последние четыре года , и, по данным кибервластей, с начала года злоумышленники уже воспользовались семью уязвимостями в продуктах Ivanti.
«Мы поддерживаем обмен информацией в помощь правозащитникам. В этом отчёте рассматривается деятельность злоумышленников прошлой осенью, которая затронула устаревшую версию Cloud Services Appliance. Пользователи полностью пропатченных или обновлённых версий не пострадали», — заявил представитель Ivanti.
«Компания Ivanti выпустила исправление в 2024 году и настоятельно рекомендовала всем клиентам обновиться до версии CSA 5.0, которая не подвержена этой уязвимости. Безопасность и защита наших клиентов остаются нашим главным приоритетом, и мы стремимся оказывать им поддержку»
По данным Французского национального агентства по безопасности информационных систем, государственные учреждения и организации в сфере телекоммуникаций, СМИ, финансов и транспорта с начала сентября по конец ноября 2024 года подверглись широкому распространению уязвимостей нулевого дня CVE-2024-8190 , CVE-2024-8963 и CVE-2024-9380 .
По данным Mandiant, французские власти приписывают атаки UNC5174, бывшему участнику китайских хакерских группировок, вероятно, работающему по контракту на Министерство государственной безопасности Китая. Злоумышленник, предположительно использующий псевдоним « Uteus », ранее эксплуатировал уязвимости периферийных устройств в ConnectWise ScreenConnect, F5 BIG-IP, Atlassian Confluence, ядре Linus и межсетевых экранах Zyxel.
Власти Франции пришли к выводу, что UNC5174 использовал уникальный набор вредоносных программ, получивший название «Houken», который включал уязвимости нулевого дня, сложный руткит, различные инструменты с открытым исходным кодом, коммерческие VPN и выделенные серверы. По словам официальных лиц, Houken и UNC5174, вероятно, управляются одним и тем же злоумышленником — посредником первоначального доступа, который также похищает учётные данные и использует механизмы для получения постоянного доступа к сетям жертвы.
«Хотя использование уязвимостей на периферийных устройствах уже задокументировано, использование уязвимостей нулевого дня злоумышленником, связанным с UNC5174, является новым», — говорится в отчёте французского агентства по кибербезопасности. «Операторы, стоящие за наборами атак UNC5174 и Houken, вероятно, в первую очередь стремятся получить ценный первоначальный доступ для продажи связанному с государством субъекту, который ищет ценную разведывательную информацию».
В январе Агентство по кибербезопасности и безопасности инфраструктуры выпустило предупреждение о том, что злоумышленники объединили три уязвимости нулевого дня Ivanti в цепочку, чтобы получить первоначальный доступ, провести удаленное выполнение кода, получить учетные данные и внедрить веб-оболочки в сети жертв.
Исследователи Sysdig в апреле заявили, что наблюдали, как спонсируемая государством китайская хакерская группа UNC5174 использует агрессивные инструменты безопасности с открытым исходным кодом , такие как VShell и WebSockets, чтобы замаскироваться под более распространенную деятельность киберпреступников.
Многочисленные злоумышленники, включая связанные с Китаем шпионские группы, неоднократно эксплуатировали многочисленные уязвимости в продуктах Ivanti. Ivanti — рецидивист , поставляющий программное обеспечение с большим количеством уязвимостей — больше, чем любой другой поставщик в этой сфере с начала прошлого года — как минимум для 10 различных линеек продуктов с 2021 года.
Каталог известных эксплуатируемых уязвимостей CISA содержит 30 дефектов Ivanti за последние четыре года , и, по данным кибервластей, с начала года злоумышленники уже воспользовались семью уязвимостями в продуктах Ivanti.
«Мы поддерживаем обмен информацией в помощь правозащитникам. В этом отчёте рассматривается деятельность злоумышленников прошлой осенью, которая затронула устаревшую версию Cloud Services Appliance. Пользователи полностью пропатченных или обновлённых версий не пострадали», — заявил представитель Ivanti.
«Компания Ivanti выпустила исправление в 2024 году и настоятельно рекомендовала всем клиентам обновиться до версии CSA 5.0, которая не подвержена этой уязвимости. Безопасность и защита наших клиентов остаются нашим главным приоритетом, и мы стремимся оказывать им поддержку»
