Chinesische Hacker nutzen Zero-Day-Schwachstellen in Ivanti-Geräten aus

PARIS / LONDON (IT BOLTWISE) – Eine neue Cyberangriffswelle, die von einer chinesischen Hackergruppe ausgeht, hat mehrere Sektoren in Frankreich ins Visier genommen. Die Angreifer nutzten Zero-Day-Schwachstellen in Ivanti Cloud Services Appliance (CSA) Geräten aus, um Zugang zu sensiblen Netzwerken zu erhalten.

Die französische Cybersicherheitsbehörde ANSSI hat kürzlich eine Reihe von Angriffen aufgedeckt, die von einer chinesischen Hackergruppe durchgeführt wurden. Diese Gruppe, die unter dem Codenamen Houken bekannt ist, hat Zero-Day-Schwachstellen in Ivanti Cloud Services Appliance (CSA) Geräten ausgenutzt, um in Netzwerke von Regierungsstellen, Telekommunikationsunternehmen und anderen wichtigen Sektoren in Frankreich einzudringen. Die Angriffe begannen Anfang September 2024 und wurden von der Bedrohungsgruppe UNC5174, auch bekannt als Uteus, durchgeführt.

Die Angreifer nutzten eine Kombination aus Zero-Day-Schwachstellen und einem hochentwickelten Rootkit, um Zugang zu den Netzwerken zu erhalten. Dabei setzten sie auch auf eine Vielzahl von Open-Source-Tools, die hauptsächlich von chinesischsprachigen Entwicklern erstellt wurden. Die Infrastruktur der Angriffe umfasste kommerzielle VPNs und dedizierte Server, was auf eine gut organisierte und koordinierte Operation hinweist.

ANSSI vermutet, dass Houken seit 2023 als Initial Access Broker fungiert, um Zugang zu Netzwerken zu verschaffen, der dann an andere Bedrohungsakteure weiterverkauft wird. Diese Akteure führen dann weitere Angriffe durch, um wertvolle Informationen zu sammeln. Diese mehrstufige Vorgehensweise bei der Ausnutzung von Schwachstellen zeigt die Komplexität und den Umfang der Bedrohung.

In den letzten Monaten wurde UNC5174 mit der aktiven Ausnutzung von Schwachstellen in SAP NetWeaver in Verbindung gebracht, um die Malware GOREVERSE zu verbreiten. Die Gruppe hat auch Schwachstellen in Palo Alto Networks, Connectwise ScreenConnect und F5 BIG-IP Software ausgenutzt, um die SNOWLIGHT-Malware zu verbreiten, die dann ein Golang-Tunneling-Tool namens GOHEAVY installiert.

Die Angriffe auf Ivanti CSA-Geräte umfassten die Ausnutzung von drei Sicherheitslücken, CVE-2024-8963, CVE-2024-9380 und CVE-2024-8190, um Anmeldeinformationen zu stehlen und Persistenz zu etablieren. Dies geschah durch die direkte Bereitstellung von PHP-Webshells, die Modifikation bestehender PHP-Skripte zur Injektion von Webshell-Funktionen und die Installation eines Kernelmoduls, das als Rootkit dient.

Die Angreifer nutzten öffentlich verfügbare Webshells wie Behinder und neo-reGeorg und setzten GOREVERSE ein, um nach lateralen Bewegungen die Persistenz aufrechtzuerhalten. Ein HTTP-Proxy-Tunneling-Tool namens suo5 und ein Linux-Kernel-Modul namens “sysinitd.ko” wurden ebenfalls eingesetzt, um den Fernzugriff mit Root-Rechten zu ermöglichen.

Interessanterweise haben die Angreifer versucht, die ausgenutzten Schwachstellen zu patchen, um andere Akteure daran zu hindern, dieselben Schwachstellen auszunutzen. Dies deutet darauf hin, dass die Bedrohungsakteure nicht nur an Spionage, sondern auch an finanziellen Gewinnen interessiert sind, da sie in einem Fall Kryptowährungs-Miner installiert haben.

Die Ähnlichkeiten in der Vorgehensweise zwischen Houken und UNC5174 lassen vermuten, dass beide von einem gemeinsamen Bedrohungsakteur betrieben werden. Diese Gruppe könnte als privates Unternehmen agieren, das Zugänge und wertvolle Daten an staatlich verbundene Stellen verkauft, während es gleichzeitig eigene finanzielle Interessen verfolgt.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!