Houken olarak tanımlanan gelişmiş bir Çin tehdit grubu, gelişmiş Linux rootkitlerini dağıtmak ve kritik altyapı ağlarına kalıcı erişim sağlamak için Ivanti Cloud Service Cihazında (CSA) cihazlarda birden fazla sıfır günlük güvenlik açıklarından yararlanıyor.
Eylül 2024’te başlayan kampanya, Fransa ve ötesindeki hükümet, telekomünikasyon, medya, finans ve ulaşım sektörlerinde kuruluşları başarıyla tehlikeye attı.
Saldırı, üç kritik güvenlik açığı zincirinden yararlanır: CVE-2024-8190, CVE-2024-8963 ve CVE-2024-9380, hepsi Ivanti’nin güvenlik tavsiyeleri yayınlanmadan önce sıfır gün olarak kullanıldı.
Bu koordineli sömürü, tehdit aktörlerinin güvenlik açığı araştırmalarındaki gelişmiş yeteneklerini ve daha önce bilinmeyen güvenlik kusurlarına erişimini göstermektedir.
Kampanyanın küresel erişimi, özellikle araştırma kurumlarına, sivil toplum kuruluşlarına ve stratejik zeka değerine sahip kuruluşlara odaklanarak Güneydoğu Asya, Avrupa ve Amerika Birleşik Devletleri’nde uzanıyor.
CERT SSI analistleri, uzlaşmış Fransız altyapısının kapsamlı adli analizi yoluyla ayarlanan Houken saldırısını belirledi ve Çin standart zaman (UTC+8) faaliyetleriyle tutarlı operasyonel kalıpları ortaya çıkardı.
Soruşturma, Houken ve daha önce belgelenmiş UNC5174 izinsiz giriş seti arasındaki bağlantıları ortaya çıkardı, bu da devlet destekli istihbarat koleksiyonu için ilk erişim brokeri olarak faaliyet gösteren ortak bir tehdit aktörünün koordinasyonunu önerdi.
Saldırganlar, öncelikle Çince konuşan programcılar tarafından geliştirilen açık kaynaklı kamu hizmetlerinin yanı sıra sıfır gün istismarlarını kullanarak sofistike tekniklerin ve emtia araçlarının paradoksal bir karışımını gösterir.
Altyapıları, NordVPN ve ExpressVPN dahil ticari VPN hizmetlerini özel komut ve kontrol sunucularıyla birleştirerek, çok aktörlü işbirliğini veya kasıtlı olarak çeşitli operasyonel güvenlik uygulamalarını gösteriyor.
Gelişmiş rootkit dağıtım ve kalıcılık mekanizmaları
Houken’in araç setinin en ilgili yönü, iki bileşen içeren daha önce gözlemlenmemiş bir Linux rootkit’i dağıtmalarıdır: bir çekirdek modülü (sysinitd.ko) ve bir kullanıcı-uzay yürütülebilir (sysinitd).
Bu sofistike kalıcılık mekanizması, tüm bağlantı noktalarında TCP trafiğini ele geçirerek, geleneksel ağ izlemesini atlayan bir teknikle kök ayrıcalıklarıyla uzaktan komut yürütmeyi mümkün kılar.
Rootkit kurulumu, güvenlik açığı sömürüsü yoluyla oluşturulan web kabuklarının yürütülmesi ile başlar.
Örneğin, saldırganlar kötü amaçlı PHP kodu enjekte etmek için CVE-2024-9380 kullanıyor:-
echo " /opt/landesk/broker/webroot/rc/help.phpİlk erişim belirlendikten sonra, tehdit aktörleri rootkit bileşenlerini dağıtır ve birden fazla kalıcılık mekanizması oluşturur.
Kötü niyetli kodları ekleyerek meşru PHP komut dosyalarını değiştirirler. /etc/php.inihangi web sayfasına erişildiğine bakılmaksızın evrensel komut yürütmeyi etkinleştirme. Değişiklik ayarı içerir allow_url_include = On ve “.
RootKit’in TCP kaçırma yeteneği, kalıcılık teknolojisinde önemli bir ilerlemeyi temsil eder ve saldırganların geleneksel arka fırınlar keşfedildiklerinde ve kaldırıldığında bile erişimi sürdürmesine izin verir, bu da tespit ve iyileştirmeyi savunucular için özellikle zorlaştırır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi