Close Menu
    Tendências
    Cibersegurança

    Governo francês atingido por hackers chineses que exploram falhas de segurança de Ivanti

    Genildo F.By Updated:No Comments2 Mins Read
    Flag of the People's Republic of China overlaid with a technological network of wires and circuits.
    (Image credit: Shutterstock)


    • Três falhas de dia zero nas soluções Ivanti CSA foram abusadas para pegar credenciais de login
    • O grupo provavelmente vendeu o acesso a dispositivos do governo francês
    • Os pesquisadores estão atribuindo os ataques a criminosos chineses patrocinados pelo Estado

    No final de 2024, os atores de ameaças patrocinados pelo Estado chinês abusaram de várias vulnerabilidades de dia zero em dispositivos de aparelhos de serviços de serviços em nuvem Ivanti (CSA) para acessar agências governamentais francesas, além de inúmeras entidades comerciais, como empresas de telecomunicações, finanças e organizações de transporte.

    As notícias foram confirmadas recentemente pela Agência Nacional Francesa para a Segurança dos Sistemas de Informação (ANSSI), que observou que os atores de ameaças estavam abusando de três vulnerabilidades de segurança em dispositivos CSA Ivanti: CVE-2024-8963, CVE-2024-9380 e CVE-2024-8190.

    Todos os três eram zero dias na época, e todos foram usados ​​para roubar credenciais de login e estabelecer persistência nos pontos de extremidade de destino. Aparentemente, os criminosos estavam implantando conchas da Web PHP, modificando os scripts PHP existentes para injetar recursos da Web Shell e instalando módulos de kernel que serviram como um rootkit.

    Você pode gostar

    Acesso à venda

    Os ataques foram atribuídos a um grupo rastreado como Houken, que, no passado, era visto explorando ativamente as vulnerabilidades no SAP NetWeaver para lançar uma variante de backdoors de Goreshell chamada Goreverse.

    O grupo, afirma os pesquisadores, tem muitas semelhanças com uma entidade rastreada pela equipe Mandiant do Google como UNC5174.

    “Embora seus operadores usem vulnerabilidades de dia zero e um sofisticado rootkit, eles também aproveitam um amplo número de ferramentas de código aberto, criadas principalmente por desenvolvedores de língua chinesa”, disseram pesquisadores franceses. “A infraestrutura de ataque de Houken é composta por diversos elementos – incluindo VPNs comerciais e servidores dedicados”.

    Aparentemente, Houken não está focado exclusivamente nos alvos ocidentais. No passado, observou -se visando uma ampla gama de organizações governamentais e educacionais no sudeste da Ásia, China, Hong Kong e Macau.

    Para alvos ocidentais, eles estavam focados principalmente em governo, defesa, educação, mídia e telecomunicações.

    Também vale a pena mencionar que, no caso francês, é provável que houvesse vários atores de ameaças envolvidos, com um grupo atuando como um corretor de acesso inicial e uma compra de grupo separada que acessa a busca por inteligência valiosa e outros dados sensíveis.

    Via The Hacker News

    Você também pode gostar

    Share.

    Genildo Ferreira | Especialista em TI e Telecom | Transformação Digital. Lidero projetos avançados de comunicação de dados, com expertise em redes DWDM, Metro Ethernet, IP, automação e DevOps. No DigitalDrift, compartilho análises técnicas sobre conectividade, smart homes e o futuro da tecnologia integrada.

    Related Posts

    Add A Comment

    Leave a Reply