Na última terça-feira(01), a agência francesa de cibersegurança revelou que várias entidades abrangendo os setores governamental, de telecomunicações, mídia, finanças e transporte no país foram impactadas por uma campanha maliciosa realizada por um grupo de hackers chinês, que explorou múltiplas vulnerabilidades zero-day em dispositivos Ivanti Cloud Services Appliance (CSA).
A campanha, detectada no início de setembro de 2024, foi atribuída a um conjunto de intrusões codinomeado Houken, o qual se acredita ter algumas sobreposições com um cluster de ameaças monitorado pelo Google Mandiant sob o codinome UNC5174 (também conhecido como Uteus ou Uetus).
"Enquanto seus operadores utilizam vulnerabilidades zero-day e um rootkit sofisticado, eles também se aproveitam de um número extenso de ferramentas de código aberto, em sua maioria desenvolvidas por falantes do chinês", disse a Agência Nacional Francesa para a Segurança dos Sistemas de Informação (ANSSI).
A infraestrutura de ataque do Houken é composta por elementos diversos -- incluindo VPNs comerciais e servidores dedicados.
A agência teorizou que o Houken provavelmente vem sendo utilizado por um corretor de acesso inicial desde 2023 com o objetivo de obter um ponto de apoio nas redes alvo e, em seguida, compartilhado com outros atores de ameaças interessados em realizar atividades pós-exploração, refletindo uma abordagem multipartidária para a exploração de vulnerabilidades, conforme apontado pela HarfangLab.
"Um primeiro partido identifica vulnerabilidades, um segundo as utiliza em larga escala para criar oportunidades e, então, os acessos são distribuídos a terceiros que tentam desenvolver alvos de interesse", notou a companhia francesa de cibersegurança mais cedo em fevereiro.
"Os operadores por trás dos conjuntos de intrusões UNC5174 e Houken provavelmente primam por obter acessos iniciais valiosos para vender a um ator vinculado ao estado buscando inteligência significativa", acrescentou a agência.
Nos últimos meses, UNC5174 foi vinculado à exploração ativa de falhas no SAP NetWeaver para entregar o GOREVERSE, uma variante do GoReShell.
A equipe de hackers também explorou vulnerabilidades nos softwares da Palo Alto Networks, Connectwise ScreenConnect e F5 BIG-IP no passado para entregar o malware SNOWLIGHT, que então é utilizado para soltar uma utilidade de tunelamento Golang chamada GOHEAVY.
Outro relatório da SentinelOne atribuiu o ator de ameaça a uma intrusão contra uma "principal organização de mídia europeia" no final de setembro de 2024.
Nos ataques documentados pela ANSSI, os atacantes foram observados explorando três falhas de segurança nos dispositivos Ivanti CSA,
CVE-2024-8963
,
CVE-2024-9380
e
CVE-2024-8190
, como zero-days para obter credenciais e estabelecer persistência usando um dos três métodos -
Distribuição direta de web shells PHP,
Modificação de scripts PHP existentes para injetar capacidades de web shell, e
Instalação de um módulo de kernel que funciona como um rootkit.
Os ataques são caracterizados pelo uso de web shells publicamente disponíveis, como Behinder e neo-reGeorg, seguidos pela implantação de GOREVERSE para manter a persistência após movimentos laterais.
Também é empregada uma ferramenta de tunelamento de proxy HTTP chamada suo5 e um módulo de kernel Linux denominado "sysinitd.ko", documentado pela Fortinet em outubro de 2024 e janeiro de 2025.
"Ele é composto por um módulo de kernel (sysinitd.ko) e um arquivo executável de espaço de usuário (sysinitd) instalado no dispositivo alvo através da execução de um script de shell: install.sh," disse a ANSSI.
Ao sequestrar o tráfego TCP de entrada em todas as portas e invocar shells, sysinitd.ko e sysinitd permitem a execução remota de qualquer comando com privilégios de root.
Mas não é só isso.
Além de conduzir reconhecimento e operar no fuso horário UTC+8 (que corresponde ao Horário Padrão da China), os atacantes foram observados tentando corrigir as vulnerabilidades, provavelmente para prevenir a exploração por outros atores não relacionados, adicionou a ANSSI.
Suspeita-se que os atores de ameaça tenham um amplo alcance de alvos, incluindo os setores governamentais e educacionais no Sudeste Asiático, organizações não governamentais localizadas na China, incluindo Hong Kong e Macau, e os setores governamental, de defesa, educação, mídia ou telecomunicações no Ocidente.
Além disso, as semelhanças de modus operandi entre Houken e UNC5174 levantaram a possibilidade de serem operados pelo mesmo ator de ameaça.
Isso dito, pelo menos em um incidente, os atores de ameaça são ditos terem utilizado o acesso para implantar mineradores de criptomoedas, sublinhando suas motivações financeiras.
"O ator de ameaça por trás dos conjuntos de intrusões Houken e UNC5174 pode corresponder a uma entidade privada, vendendo acessos e dados valiosos para vários órgãos vinculados ao estado enquanto busca seus próprios interesses conduzindo operações lucrativas," disse a ANSSI.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...