Fransız Siber Güvenlik Ajansı Salı günü, ülkedeki hükümet, telekomünikasyon, medya, finans ve ulaşım sektörlerini kapsayan bir dizi varlığın, bir Çin hackleme grubu tarafından Ivanti Cloud Services cihazlarındaki birkaç sıfır günlük güvenlik açığı silahlandırarak yürütülen kötü niyetli bir kampanyadan etkilendiğini ortaya koydu.
Eylül 2024’ün başında tespit edilen kampanya Tutmakbazı seviye örtüşlarını paylaşmak için değerlendirilen, UNC5174 (diğer adıyla Uteus veya Uetus) altında Google Mandiant tarafından izlenen bir tehdit kümesiyle.
Fransız Ulusal Bilgi Sistemleri Güvenliği Ajansı (ANSSI), “Operatörleri sıfır gün güvenlik açıkları ve sofistike bir rootkit kullanırken, çoğunlukla Çince konuşan geliştiriciler tarafından hazırlanmış çok sayıda açık kaynaklı araçtan yararlanıyorlar.” Dedi. “Houken’in saldırı altyapısı, ticari VPN’ler ve özel sunucular dahil olmak üzere çeşitli unsurlardan oluşuyor.”
Ajans, Houken’in, hedef ağlara bir dayanak kazanmak amacıyla 2023’ten beri bir başlangıç erişim brokeri tarafından kullanıldığını ve daha sonra harflab tarafından belirtildiği gibi, güvenlik açığı sömürüsüne çok partili bir yaklaşımı yansıtmakla ilgilenen diğer tehdit aktörleriyle paylaştı.
Fransız siber güvenlik şirketi, bu Şubat ayının başlarında, “Birinci taraf güvenlik açıklarını tanımlıyor, ikincisi bunları fırsatlar yaratmak için ölçekte kullanıyor, daha sonra erişimler ilgi hedeflerini geliştirmeye çalışan üçüncü taraflara dağıtılıyor.”
Ajans, “UNC5174 ve Houken saldırı setlerinin arkasındaki operatörler, büyük olasılıkla öncelikle, içgörü istihbarat arayan devlet bağlantılı bir aktöre satmak için değerli başlangıç erişimleri arıyor.”
Son aylarda, UNC5174, Goreshell’in bir çeşidi olan Gorverse’yi sunmak için SAP NetWeaver kusurlarının aktif sömürüsüne bağlanmıştır. Hacking ekibi, geçmişte Palo Alto Networks, ConnectWise Screenconnect ve F5 Big-IP yazılımındaki güvenlik açıklarından da yararlandı, bu da daha sonra Goheavy adlı bir Golang tünel kamu hizmetini bırakmak için kullanılan kar ışığı kötü amaçlı yazılımları sundu.
Sentinelone’dan bir başka rapor, tehdit oyuncusunu Eylül 2024’ün sonlarında “önde gelen Avrupa medya organizasyonuna” karşı bir müdahaleye bağladı.
ANSSI tarafından belgelenen saldırılarda, saldırganların Ivanti CSA cihazlarında, CVE-2024-8190’da üç güvenlik kusurundan yararlandığı gözlemlenmiştir.
- Doğrudan php web mermilerini dağıtmak
- Web kabuğu özelliklerini enjekte etmek için mevcut PHP komut dosyalarını değiştirmek ve
- Kökkit görevi gören bir çekirdek modülü takma
Saldırılar, Beheri ve Neo-Regeorg gibi halka açık web mermilerinin kullanılması ve ardından yanal hareketlerden sonra kalıcılığı korumak için Gorverse’nin konuşlandırılması ile karakterize edilir. Ayrıca SUO5 adı verilen bir HTTP proxy tünelleme aracı ve Ekim 2024 ve Ocak 2025’te Fortinet tarafından belgelenen “Sysinitd.ko” adlı bir Linux çekirdek modülü bulunmaktadır.
Anssi, “Bir çekirdek modülü (sysinitd.ko) ve bir kabuk komut dosyasının yürütülmesi yoluyla hedeflenen cihaza yüklü bir kullanıcı-uzay yürütülebilir dosyasından (sysinitd) oluşur: kurulum.” Dedi. “Tüm bağlantı noktalarında gelen TCP trafiğini kaçırarak ve kabukları çağırarak, sysinitd.ko ve sysinitd, herhangi bir komutun kök ayrıcalıklarıyla uzaktan yürütülmesine izin verir.”
Hepsi bu değil. Anssi, keşif yapmanın ve UTC+8 zaman diliminde (Çin standart zamanına karşılık gelen) faaliyet göstermesinin yanı sıra (Çin standart zamanına karşılık gelen), saldırganların diğer ilgisiz aktörler tarafından sömürüyü önleyecek şekilde güvenlik açıklarını yamaya çalıştığı gözlemlendi.
Tehdit aktörlerinin Güneydoğu Asya’daki hükümet ve eğitim sektörlerini, Çin’de Hong Kong ve Macau dahil olmak üzere sivil toplum kuruluşlarını ve Batı’daki hükümet, savunma, eğitim, medya veya telekomünikasyon sektörlerinden oluşan geniş bir hedefleme aralığına sahip olduğundan şüpheleniliyor.
Bunun da ötesinde, Houken ve UNC5174 arasındaki Tradecraft benzerlikleri, ortak bir tehdit oyuncusu tarafından işletilme olasılığını artırdı. En azından bir olayda, tehdit aktörlerinin kripto para madencilerinin dağıtımına erişimin silahlandırdığı ve finansal motivasyonlarının altını çizdiğini söyledikten sonra.
Anssi, “Houken ve UNC5174 izinsiz giriş setlerinin arkasındaki tehdit oyuncusu, özel bir varlığa karşılık gelebilir, eyalet bağlantılı birkaç organa erişim ve değerli veriler satabilir ve kazançlı yönlü operasyonlara liderlik eder.” Dedi.