Κινέζοι hackers στοχεύουν τη Γαλλία μέσω zero-day ευπαθειών Ivanti
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Κινέζοι hackers στοχεύουν τη Γαλλία μέσω zero-day ευπαθειών Ivanti
https://www.secnews.gr/652884/kinezoi-hackers-stoxeuoun-gallia-meso-zero-day-eupatheion-ivanti/
Jul 3rd 2025, 13:55
by Digital Fortress
Η γαλλική εθνική υπηρεσία κυβερνοασφάλειας ANSSI αποκάλυψε ότι κυβερνητικοί οργανισμοί, πάροχοι τηλεπικοινωνιών, μέσα ενημέρωσης, χρηματοπιστωτικά ιδρύματα και φορείς μεταφορών στη Γαλλία έγιναν στόχος μιας ευρείας κυβερνοεπιχείρησης, η οποία αποδίδεται σε Κινέζους hackers και αξιοποιεί zero-day ευπάθειες σε συσκευές Ivanti Cloud Services Appliance (CSA).
Η εκστρατεία εντοπίστηκε για πρώτη φορά τον Σεπτέμβριο του 2024, αλλά ενδέχεται να έχει ξεκινήσει ήδη από το 2023. Η επιχείρηση φέρει την κωδική ονομασία "Houken" και αξιοποιεί ευπάθειες zero-day, open-source εργαλεία κινέζικης προέλευσης, ένα εξελιγμένο rootkit και υποδομές επίθεσης που περιλαμβάνουν εμπορικά VPN και dedicated servers C2 (Command & Control).
Η ANSSI διαπίστωσε ότι οι εισβολείς εκμεταλλεύτηκαν τρεις σοβαρές ευπάθειες σε συσκευές Ivanti Cloud Services Appliance (CSA) – συγκεκριμένα τις CVE-2024-8190, CVE-2024-8963 και CVE-2024-9380 – για την απομακρυσμένη εκτέλεση κώδικα. Οι δράστες συνέδεσαν τα τρία exploits για να αποκτήσουν διαπιστευτήρια μέσω της εκτέλεσης ενός base64 encoded Python script και διασφάλισαν το persistence αναπτύσσοντας ή δημιουργώντας PHP webshells, τροποποιώντας υπάρχοντα PHP scripts και εγκαθιστώντας ένα kernel module που λειτουργεί ως rootkit.
Δείτε επίσης: Fortinet και Ivanti διορθώνουν ευπάθειες υψηλής σοβαρότητας
Τα συγκεκριμένα κενά ασφαλείας διορθώθηκαν από την Ivanti στις 10 Σεπτεμβρίου, 15 Σεπτεμβρίου και 8 Οκτωβρίου 2024.
Οι οργανισμοί δεν μπορούν να βασίζονται απλώς σε αντιδραστικά μέτρα για την προστασία των συστημάτων τους. Τα προληπτικά βήματα, όπως η τακτική επιδιόρθωση γνωστών τρωτών σημείων και η εφαρμογή ισχυρών ελέγχων πρόσβασης, είναι απαραίτητα για τον μετριασμό των πιθανών κινδύνων.
Η εκμετάλλευση ευπαθειών Ivanti χρησιμεύει ως υπενθύμιση ότι οι εισβολείς αναζητούν συνεχώς νέους τρόπους για διείσδυση σε δίκτυα και παραβίαση ευαίσθητων δεδομένων. Υπογραμμίζει επίσης τη σημασία της παραμονής σε εγρήγορση.
Εσωτερική αναγνώριση και πλευρικές κινήσεις
Σύμφωνα με την ANSSI, σε τουλάχιστον τρεις περιπτώσεις, η παραβίαση συσκευών Ivanti ακολουθήθηκε από πλευρική μετακίνηση προς κρίσιμα εσωτερικά πληροφοριακά συστήματα. Ο εισβολέας φαίνεται να πραγματοποιούσε reconnaissance μόλις αποκτούσε πρόσβαση, επιβεβαιώνοντας τον στοχευμένο και στρατηγικό χαρακτήρα της καμπάνιας.
Αυτές οι επιθέσεις διήρκεσαν τουλάχιστον μέχρι τον Νοέμβριο του 2024 και επηρέασαν γαλλικούς οργανισμούς στους τομείς της κυβέρνησης, των τηλεπικοινωνιών, των μέσων ενημέρωσης, των χρηματοοικονομικών και των μεταφορών.
Δείτε επίσης: Οι hackers UNC5221 χρησιμοποιούν ευπάθειες του Ivanti EPMM
Ανταπόκριση και υποστήριξη από την ANSSI
Η ANSSI προσέφερε άμεση υποστήριξη στους επηρεασμένους οργανισμούς, διενεργώντας εγκληματολογική ανάλυση και βοηθώντας στην εφαρμογή διορθωτικών μέτρων.
Houken: Το εξελιγμένο χαρτοφυλάκιο επιθέσεων με κινεζική υπογραφή
Η καμπάνια Houken, η οποία βρίσκεται στο μικροσκόπιο της ANSSI, φαίνεται να αξιοποιεί μια πολύπλοκη και πολυεπίπεδη υποδομή επιθέσεων, συνδυάζοντας open-source εργαλεία, εμπορικές υπηρεσίες VPN και rootkits.
Σύμφωνα με το CERT-FR, η ψηφιακή υποδομή του Houken αποτελείται από IP διευθύνσεις που σχετίζονται με ευρέως χρησιμοποιούμενες υπηρεσίες, όπως τα ExpressVPN, NordVPN, Proton VPN και Surfshark, καθώς και ειδικά διαμορφωμένους VPS servers φιλοξενούμενους από παρόχους όπως οι HOSTHATCH, ColoCrossing και JVPS.hosting. Επιπλέον, εντοπίστηκαν δραστηριότητες που διέρχονταν μέσω ISP όπως η Comcast, η China Unicom, η China Telecom και η Airtel.
Κινέζοι hackers στοχεύουν τη Γαλλία μέσω zero-day ευπαθειών Ivanti
Εργαλειοθήκη Houken: Συνδυασμός low και high-tech τακτικών
Η "εργαλειοθήκη" της καμπάνιας Houken περιλαμβάνει:
• Open-source εργαλεία από το GitHub, όπως webshells, συχνά κινεζικής προέλευσης.
• Handcrafted webshells, τα οποία διευκολύνουν την απομακρυσμένη πρόσβαση.
• Ένα Linux kernel module και ένα user-space binary που λειτουργούσαν σαν rootkit, για απόκρυψη και διατήρηση πρόσβασης.
Η προσέγγιση των κυβερνοεγκληματιών υποδηλώνει μια υβριδική ταυτότητα: Από τη μία πλευρά, χρησιμοποιούν κοινά διαθέσιμα εργαλεία, που παραπέμπουν σε περιορισμένα μέσα. Από την άλλη, η εκμετάλλευση zero-day ευπαθειών και η ανάπτυξη προηγμένων rootkits φανερώνουν πρόσβαση σε προηγμένες τεχνικές δυνατότητες και χρηματοδότηση.
Σύμφωνα με την HarfangLab, που μελέτησε την ίδια καμπάνια σε έκθεσή της τον Φεβρουάριο του 2025, η χρήση διαφορετικών VPN exit nodes και εμπορικών dedicated servers υποδηλώνει μια πολυεπίπεδη και πιθανώς συλλογική προσέγγιση εκ μέρους του απειλητικού παράγοντα, ίσως ακόμη και συνεργασία μεταξύ πολλαπλών ομάδων.
Δείτε επίσης: Η Ivanti προειδοποιεί για κρίσιμα ελαττώματα στο Neurons for ITSM
Παγκόσμια στόχευση με επίκεντρο την Ασία και τον Δυτικό κόσμο
Η ANSSI επισημαίνει ότι το Houken δεν περιορίζεται σε στόχους εντός Γαλλίας. Η γεωγραφική κατανομή των επιθέσεων δείχνει σαφή εστίαση σε περιοχές κοντά στην Κίνα, όπως:
• Νοτιοανατολική Ασία (με χώρες όπως η Ταϊλάνδη, το Βιετνάμ και η Ινδονησία), με κύρια στόχευση κυβερνητικούς και ακαδημαϊκούς οργανισμούς.
• Μη Κυβερνητικές Οργανώσεις (ΜΚΟ) εντός και εκτός Κίνας, συμπεριλαμβανομένων του Χονγκ Κονγκ και του Μακάο.
• Οργανισμοί στη Δύση που δραστηριοποιούνται σε τομείς όπως κυβέρνηση, άμυνα, εκπαίδευση, τηλεπικοινωνίες και μέσα ενημέρωσης.
Η πολυπλοκότητα της καμπάνιας Houken αποκαλύπτει τη μετάβαση των κυβερνοαπειλών από μεμονωμένες επιθέσεις σε καλά συντονισμένες επιχειρήσεις ψηφιακής κατασκοπείας και επιρροής, οι οποίες ξεπερνούν τα παραδοσιακά γεωγραφικά και πολιτικά όρια.
Πηγή: www.infosecurity-magazine.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Κινέζοι hackers στοχεύουν τη Γαλλία μέσω zero-day ευπαθειών Ivanti
https://www.secnews.gr/652884/kinezoi-hackers-stoxeuoun-gallia-meso-zero-day-eupatheion-ivanti/
Jul 3rd 2025, 13:55
by Digital Fortress
Η γαλλική εθνική υπηρεσία κυβερνοασφάλειας ANSSI αποκάλυψε ότι κυβερνητικοί οργανισμοί, πάροχοι τηλεπικοινωνιών, μέσα ενημέρωσης, χρηματοπιστωτικά ιδρύματα και φορείς μεταφορών στη Γαλλία έγιναν στόχος μιας ευρείας κυβερνοεπιχείρησης, η οποία αποδίδεται σε Κινέζους hackers και αξιοποιεί zero-day ευπάθειες σε συσκευές Ivanti Cloud Services Appliance (CSA).
Η εκστρατεία εντοπίστηκε για πρώτη φορά τον Σεπτέμβριο του 2024, αλλά ενδέχεται να έχει ξεκινήσει ήδη από το 2023. Η επιχείρηση φέρει την κωδική ονομασία "Houken" και αξιοποιεί ευπάθειες zero-day, open-source εργαλεία κινέζικης προέλευσης, ένα εξελιγμένο rootkit και υποδομές επίθεσης που περιλαμβάνουν εμπορικά VPN και dedicated servers C2 (Command & Control).
Η ANSSI διαπίστωσε ότι οι εισβολείς εκμεταλλεύτηκαν τρεις σοβαρές ευπάθειες σε συσκευές Ivanti Cloud Services Appliance (CSA) – συγκεκριμένα τις CVE-2024-8190, CVE-2024-8963 και CVE-2024-9380 – για την απομακρυσμένη εκτέλεση κώδικα. Οι δράστες συνέδεσαν τα τρία exploits για να αποκτήσουν διαπιστευτήρια μέσω της εκτέλεσης ενός base64 encoded Python script και διασφάλισαν το persistence αναπτύσσοντας ή δημιουργώντας PHP webshells, τροποποιώντας υπάρχοντα PHP scripts και εγκαθιστώντας ένα kernel module που λειτουργεί ως rootkit.
Δείτε επίσης: Fortinet και Ivanti διορθώνουν ευπάθειες υψηλής σοβαρότητας
Τα συγκεκριμένα κενά ασφαλείας διορθώθηκαν από την Ivanti στις 10 Σεπτεμβρίου, 15 Σεπτεμβρίου και 8 Οκτωβρίου 2024.
Οι οργανισμοί δεν μπορούν να βασίζονται απλώς σε αντιδραστικά μέτρα για την προστασία των συστημάτων τους. Τα προληπτικά βήματα, όπως η τακτική επιδιόρθωση γνωστών τρωτών σημείων και η εφαρμογή ισχυρών ελέγχων πρόσβασης, είναι απαραίτητα για τον μετριασμό των πιθανών κινδύνων.
Η εκμετάλλευση ευπαθειών Ivanti χρησιμεύει ως υπενθύμιση ότι οι εισβολείς αναζητούν συνεχώς νέους τρόπους για διείσδυση σε δίκτυα και παραβίαση ευαίσθητων δεδομένων. Υπογραμμίζει επίσης τη σημασία της παραμονής σε εγρήγορση.
Εσωτερική αναγνώριση και πλευρικές κινήσεις
Σύμφωνα με την ANSSI, σε τουλάχιστον τρεις περιπτώσεις, η παραβίαση συσκευών Ivanti ακολουθήθηκε από πλευρική μετακίνηση προς κρίσιμα εσωτερικά πληροφοριακά συστήματα. Ο εισβολέας φαίνεται να πραγματοποιούσε reconnaissance μόλις αποκτούσε πρόσβαση, επιβεβαιώνοντας τον στοχευμένο και στρατηγικό χαρακτήρα της καμπάνιας.
Αυτές οι επιθέσεις διήρκεσαν τουλάχιστον μέχρι τον Νοέμβριο του 2024 και επηρέασαν γαλλικούς οργανισμούς στους τομείς της κυβέρνησης, των τηλεπικοινωνιών, των μέσων ενημέρωσης, των χρηματοοικονομικών και των μεταφορών.
Δείτε επίσης: Οι hackers UNC5221 χρησιμοποιούν ευπάθειες του Ivanti EPMM
Ανταπόκριση και υποστήριξη από την ANSSI
Η ANSSI προσέφερε άμεση υποστήριξη στους επηρεασμένους οργανισμούς, διενεργώντας εγκληματολογική ανάλυση και βοηθώντας στην εφαρμογή διορθωτικών μέτρων.
Houken: Το εξελιγμένο χαρτοφυλάκιο επιθέσεων με κινεζική υπογραφή
Η καμπάνια Houken, η οποία βρίσκεται στο μικροσκόπιο της ANSSI, φαίνεται να αξιοποιεί μια πολύπλοκη και πολυεπίπεδη υποδομή επιθέσεων, συνδυάζοντας open-source εργαλεία, εμπορικές υπηρεσίες VPN και rootkits.
Σύμφωνα με το CERT-FR, η ψηφιακή υποδομή του Houken αποτελείται από IP διευθύνσεις που σχετίζονται με ευρέως χρησιμοποιούμενες υπηρεσίες, όπως τα ExpressVPN, NordVPN, Proton VPN και Surfshark, καθώς και ειδικά διαμορφωμένους VPS servers φιλοξενούμενους από παρόχους όπως οι HOSTHATCH, ColoCrossing και JVPS.hosting. Επιπλέον, εντοπίστηκαν δραστηριότητες που διέρχονταν μέσω ISP όπως η Comcast, η China Unicom, η China Telecom και η Airtel.
Κινέζοι hackers στοχεύουν τη Γαλλία μέσω zero-day ευπαθειών Ivanti
Εργαλειοθήκη Houken: Συνδυασμός low και high-tech τακτικών
Η "εργαλειοθήκη" της καμπάνιας Houken περιλαμβάνει:
• Open-source εργαλεία από το GitHub, όπως webshells, συχνά κινεζικής προέλευσης.
• Handcrafted webshells, τα οποία διευκολύνουν την απομακρυσμένη πρόσβαση.
• Ένα Linux kernel module και ένα user-space binary που λειτουργούσαν σαν rootkit, για απόκρυψη και διατήρηση πρόσβασης.
Η προσέγγιση των κυβερνοεγκληματιών υποδηλώνει μια υβριδική ταυτότητα: Από τη μία πλευρά, χρησιμοποιούν κοινά διαθέσιμα εργαλεία, που παραπέμπουν σε περιορισμένα μέσα. Από την άλλη, η εκμετάλλευση zero-day ευπαθειών και η ανάπτυξη προηγμένων rootkits φανερώνουν πρόσβαση σε προηγμένες τεχνικές δυνατότητες και χρηματοδότηση.
Σύμφωνα με την HarfangLab, που μελέτησε την ίδια καμπάνια σε έκθεσή της τον Φεβρουάριο του 2025, η χρήση διαφορετικών VPN exit nodes και εμπορικών dedicated servers υποδηλώνει μια πολυεπίπεδη και πιθανώς συλλογική προσέγγιση εκ μέρους του απειλητικού παράγοντα, ίσως ακόμη και συνεργασία μεταξύ πολλαπλών ομάδων.
Δείτε επίσης: Η Ivanti προειδοποιεί για κρίσιμα ελαττώματα στο Neurons for ITSM
Παγκόσμια στόχευση με επίκεντρο την Ασία και τον Δυτικό κόσμο
Η ANSSI επισημαίνει ότι το Houken δεν περιορίζεται σε στόχους εντός Γαλλίας. Η γεωγραφική κατανομή των επιθέσεων δείχνει σαφή εστίαση σε περιοχές κοντά στην Κίνα, όπως:
• Νοτιοανατολική Ασία (με χώρες όπως η Ταϊλάνδη, το Βιετνάμ και η Ινδονησία), με κύρια στόχευση κυβερνητικούς και ακαδημαϊκούς οργανισμούς.
• Μη Κυβερνητικές Οργανώσεις (ΜΚΟ) εντός και εκτός Κίνας, συμπεριλαμβανομένων του Χονγκ Κονγκ και του Μακάο.
• Οργανισμοί στη Δύση που δραστηριοποιούνται σε τομείς όπως κυβέρνηση, άμυνα, εκπαίδευση, τηλεπικοινωνίες και μέσα ενημέρωσης.
Η πολυπλοκότητα της καμπάνιας Houken αποκαλύπτει τη μετάβαση των κυβερνοαπειλών από μεμονωμένες επιθέσεις σε καλά συντονισμένες επιχειρήσεις ψηφιακής κατασκοπείας και επιρροής, οι οποίες ξεπερνούν τα παραδοσιακά γεωγραφικά και πολιτικά όρια.
Πηγή: www.infosecurity-magazine.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια