Hackers chineses exploram falhas de Zero-Day em Ivanti CSA para atacar governo francês e empresas de telecomunicações

A Agência Nacional Francesa para a Segurança dos Sistemas de Informação (ANSSI) revelou na terça-feira que diversas entidades dos setores governamental, de telecomunicações, mídia, finanças e transporte na França foram impactadas por uma campanha de ciberataque atribuída a um grupo hacker chinês. Os invasores exploraram várias vulnerabilidades zero-day em dispositivos Ivanti Cloud Services Appliance (CSA) para realizar suas ações maliciosas.

A campanha, detectada no início de setembro de 2024, foi atribuída a um grupo de intrusão distinto, codinome Houken. Acredita-se que este grupo tenha sobreposições com um cluster de ameaças rastreado pelo Google Mandiant sob o nome UNC5174 (também conhecido como Uteus ou Uetus).

"Embora seus operadores utilizem vulnerabilidades zero-day e um rootkit sofisticado, eles também empregam um grande número de ferramentas de código aberto, a maioria desenvolvida por programadores de língua chinesa", afirmou a ANSSI. A infraestrutura de ataque do Houken é composta por diversos elementos, incluindo VPNs comerciais e servidores dedicados.

A agência francesa teorizou que o Houken provavelmente está sendo usado por um invasor de acesso inicial desde 2023, com o objetivo de obter uma base em redes-alvo e, em seguida, compartilhar esse acesso com outros hackers interessados em atividades de pós-exploração. Essa abordagem reflete um método multipartidário de exploração de vulnerabilidades, como apontado pela HarfangLab.

"Uma primeira parte identifica vulnerabilidades, uma segunda as utiliza em larga escala para criar oportunidades, e então os acessos são distribuídos a terceiros que tentam desenvolver alvos de interesse", observou a empresa francesa de cibersegurança em fevereiro.

"Os operadores por trás dos conjuntos de intrusão UNC5174 e Houken provavelmente estão buscando principalmente acessos iniciais valiosos para vender a um ator ligado ao Estado que busca inteligência perspicaz", acrescentou a ANSSI. Nos últimos meses, o UNC5174 foi associado à exploração ativa de falhas no SAP NetWeaver para entregar GOREVERSE, uma variante do GoReShell.

O grupo hacker também já explorou vulnerabilidades em softwares da Palo Alto Networks, Connectwise ScreenConnect e F5 BIG-IP para distribuir o malware SNOWLIGHT, usado para instalar um utilitário de tunelamento Golang chamado GOHEAVY. Outro relatório da SentinelOne atribuiu a esse grupo uma intrusão contra uma "organização de mídia europeia líder" no final de setembro de 2024.

Nos ataques documentados pela ANSSI, os hackers foram observados explorando três falhas de segurança em dispositivos Ivanti CSA – CVE-2024-8963, CVE-2024-9380 e CVE-2024-8190 – como zero-days para obter credenciais e estabelecer persistência. Isso foi feito de três maneiras: implantando diretamente web shells PHP, modificando scripts PHP existentes para injetar capacidades de web shell, e instalando um módulo de kernel que funciona como um rootkit.

Os ataques são caracterizados pelo uso de web shells publicamente disponíveis, como Behinder e neo-reGeorg, seguido pela implantação do GOREVERSE para manter a persistência após movimentos laterais. Também foram utilizadas uma ferramenta de tunelamento de proxy HTTP chamada suo5 e um módulo de kernel Linux denominado "sysinitd.ko", documentado pela Fortinet em outubro de 2024 e janeiro de 2025.

"É composto por um módulo de kernel (sysinitd.ko) e um arquivo executável em espaço de usuário (sysinitd) instalado no dispositivo alvo através da execução de um script shell: install.sh", disse a ANSSI. "Ao interceptar o tráfego TCP de entrada em todas as portas e invocar shells, sysinitd.ko e sysinitd permitem a execução remota de qualquer comando com privilégios de root."

Além disso, os hackers foram observados tentando corrigir as vulnerabilidades, provavelmente para evitar a exploração por outros atores não relacionados, e operando no fuso horário UTC+8, que corresponde ao Horário Padrão da China.

Suspeita-se que os invasores tenham um amplo alcance de alvos, incluindo setores governamentais e de educação no Sudeste Asiático, organizações não governamentais localizadas na China (incluindo Hong Kong e Macau) e setores governamentais, de defesa, educação, mídia ou telecomunicações no Ocidente.

As semelhanças nas táticas entre Houken e UNC5174 levantaram a possibilidade de que sejam operados por um hacker em comum. Em pelo menos um incidente, os invasores teriam explorado o acesso para implantar mineradores de criptomoedas, destacando suas motivações financeiras.

"O invasor por trás dos conjuntos de intrusão Houken e UNC5174 pode corresponder a uma entidade privada, vendendo acessos e dados valiosos para vários órgãos estatais enquanto busca seus próprios interesses em operações lucrativas", concluiu a ANSSI.

Via - THN