Çin Houken Group, Linux rootkits’i kurmak için Ivanti CSA Zero günlerinden yararlanır


Fransız Ulusal Bilgi Sistemleri Güvenliği Ajansı (ANSSI), “Houken” adlı bir tehdit grubu tarafından düzenlenen sofistike bir siber saldırı kampanyasını ortaya çıkardı.

Çin saldırı seti UNC5174 ile bağlantılı olduğundan şüphelenilen bu grup, hükümet, telekomünikasyonlar, medya, finans ve ulaşım sektörlerinde Fransız organizasyonlarının ağlarına yetkisiz erişim elde etmek için Ivanti Bulut Servis Cihazı (CSA) cihazlarındaki birden fazla sıfır günlük güvenlik açıklarından yararlandı.

Sofistike Saldırı Kampanyası Fransız sektörlerini hedefliyor

Eylül 2024’ün başlarında başlayan ve Kasım 2024’e kadar devam eden saldırılar, CVE-2024-8190, CVE-2024-8963 ve CVE-2024-9380 olarak tanımlanan, savunmasız sistemlerde uzaktan kod uygulamasını sağlayan kaldıraçlı güvenlik açıkları.

Bu kampanyayı birbirinden ayıran şey, gelişmiş teknik yetenek ve fırsatçı sömürü taktiklerinin bir karışımını sergileyen daha önce görünmeyen bir Linux rootkitinin konuşlandırılmasıdır.

Anssi’nin ayrıntılı soruşturması, Houken’in bir resmini orta derecede sofistike bir izinsiz giriş seti olarak boyar ve muhtemelen ilk erişim brokeri olarak çalışır.

Saldırganlar, Ivanti CSA cihazlarına sızmak için sıfır gün istismarlarını titizlikle zincirledi, kimlik bilgilerini toplamak için baz64 kodlu Python komut dosyalarını yürüttü ve PHP webshells’i kalıcılık için dağıttı.

Fransız savunma sektörü içinde özellikle endişe verici bir durumda, Houken operatörleri TCP trafiğini ele geçirmek ve kök ayrıcalıklarıyla uzaktan komut yürütmeyi kolaylaştırmak için tasarlanmış bir çekirdek modülü (Sysinitd.ko) ve bir kullanıcı-uzay ikili (Sysinitd) içeren bir rootkit kurdu.

Bu rootkit’in konuşlandırılması, tehlikeye atılan sistemlere uzun vadeli erişim sağlayan yüksek değerli bir hedef stratejiyi gösterir.

Sıfır günlerin stratejik kullanımı

Gelişmiş kötü amaçlı yazılımların ötesinde, Houken’in operatörleri de çeşitli saldırı altyapısının yanı sıra Çince konuşan geliştiriciler tarafından hazırlanmış bir dizi açık kaynaklı araç kullandı.

Bu altyapı, NordVPN ve ExpressVPN gibi ticari VPN’leri, Hosthatch gibi sağlayıcıların özel sunucularını ve hatta China Unicom gibi ISS’lerden konut IP adreslerini içeriyordu.

Bu çeşitlilik, diğer tehdit aktörlerini engellemek için sömürülen güvenlik açıklarının kendi kendine paketlenmesi ile birlikte, operasyonel güvenliğe hesaplanmış ancak bazen gevşek bir yaklaşımı yansıtır.

İlginç bir şekilde, Houken’in faaliyetleri Çin standart zamanıyla (UTC+8) uyumludur ve bir Çin bağının spekülasyonunu daha da körükler.

Rapora göre, Anssi’nin bulguları da Houken’in operasyonlarının arkasında ikili bir neden olduğunu gösteriyor. Öncelikle, grup, istihbarat arayan devlet bağlantılı aktörlere yeniden satış yapılması için değerli başlangıç ​​erişimlerini sağlamaya odaklanmış gibi görünmektedir.

Bununla birlikte, Mart 2025’te bir Güney Amerika Dışişleri Bakanlığı cihazından gelen büyük e-posta ihlali ve Monero Cryptominers’ın Fransız sistemleri üzerine konuşlandırılması gibi veri ortaya çıkma örnekleri, kâr odaklı hedeflere işaret ediyor.

Daha önce Google Tehdit İstihbarat Grubu tarafından kenar cihazlarını hedeflemek ve diğer Çin-Nexus gruplarına erişim aktarmak için belgelenen UNC5174’e olan bağlantı, Houken’in hipotezini daha geniş bir siber-durum ekosisteminde bir broker olarak güçlendiriyor.

Houken’in hedeflemesi Güneydoğu Asya, Batı ülkeleri ve STK’ları kapsamakla birlikte, hükümet ve savunma kuruluşlarına odaklanması sadece finansal kazancın ötesinde stratejik niyet önermektedir.

Bu tehdit oyuncusu aktif kaldıkça, dünya çapında kuruluşlar, bu tür fırsatçı ama yıkıcı istismarlara karşı internete dönük ekipmanı güvence altına almaya öncelik vermelidir.

Uzlaşma Ağ Göstergeleri (IOCS)

IOCİlk görüldüSon görüldüYorum
107.173.111.262024-09-262024-09-26Gorverse C2
195.133.52.872024-09-202024-09-20Gorverse C2
45.33.101.532024-09-052024-09-10Ters kabuk için netcat kullanarak VPS ile temasa geçti
156.234.193.182024-09-062024-09-06Araçlar için sunucu indir ve ters kabuk
198.98.54.2092024-09-092024-09-09Ek araçlar için sunucu indir
23.236.66.972024-09-062024-09-12Güvenlik Açıkları Sömürü
134.195.90.712024-09-062024-09-11VPS, SSH, SCP, Telnet aracılığıyla temasa geçildi
64.176.49.1602024-09-192024-10-09Güvenlik Açıkları Sömürü
Or2ohrm.eyes.sh2024-09-092024-09-09Meyveden çıkarılan sistemlerden bağlantı denemeleri

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin



Source link