Una pioggia di 0day e di rootkit colpiscono la Francia E’ opera degli hacker cinesi

L’agenzia francese per la sicurezza informatica ha annunciato un grave attacco che ha colpito settori chiave del Paese. Agenzie governative, aziende di telecomunicazioni, media, settore finanziario e aziende di trasporto sono tutte nel mirino. Dietro la campagna dannosa, che ha sfruttato vulnerabilità precedentemente sconosciute nei dispositivi Ivanti Cloud Services Appliance (CSA), c’è un gruppo di hacker cinesi.

Gli attacchi rilevati sono iniziati a settembre 2024 e sono stati attribuiti al gruppo Houken, le cui attività, secondo gli esperti, si sovrappongono a quelle del cluster di criminali informatici UNC5174, noto anche come Uteus o Uetus, precedentemente monitorato dagli specialisti di Google Mandiant.

L’Agenzia Nazionale Francese per la Sicurezza dei Sistemi Informativi (ANSSI) riferisce che gli aggressori hanno utilizzato non solo vulnerabilità zero-day e un sofisticato rootkit, ma anche un’ampia gamma di strumenti open source sviluppati principalmente da programmatori di lingua cinese. L’infrastruttura di Houken includeva VPN commerciali e server dedicati, che gli hanno permesso di nascondere efficacemente la fonte degli attacchi.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Secondo gli esperti francesi, Houken è stato utilizzato attivamente dai cosiddetti broker di accesso iniziale dal 2023. Questi intermediari hackerano i sistemi e poi cedono l’accesso ad altri criminali informatici che continuano a sfruttare le reti compromesse. Questo approccio prevede la partecipazione di diversi gruppi contemporaneamente, ognuno dei quali svolge la propria parte dell’attacco, dall’identificazione delle vulnerabilità alla loro monetizzazione.

HarfangLab sottolinea che prima un gruppo trova una vulnerabilità , poi un altro la sfrutta su larga scala per penetrare nelle reti, dopodiché l’accesso ottenuto viene venduto alle parti interessate, il più delle volte quelle associate alle agenzie governative. Gli esperti ritengono che l’obiettivo principale dei gruppi UNC5174 e Houken sia quello di ottenere l’accesso a oggetti promettenti per poi venderli a clienti governativi interessati a informazioni di intelligence. Allo stesso tempo, i criminali non si limitano allo spionaggio informatico: in uno degli episodi è stato registrato l’utilizzo dell’accesso per installare miner di criptovalute, il che indica le motivazioni finanziarie degli aggressori.

In precedenza, UNC5174 era collegato ad attacchi ai sistemi SAP NetWeaver, in cui gli aggressori utilizzavano il malware GOREVERSE, una variante di GoReShell. Al gruppo sono inoltre attribuiti attacchi che sfruttavano vulnerabilità nei prodotti Palo Alto Networks, Connectwise ScreenConnect e F5 BIG-IP, attraverso i quali veniva distribuito il malware SNOWLIGHT. Quest’ultimo viene utilizzato per installare uno strumento di tunneling basato su Go chiamato GOHEAVY.

SentinelOne ha segnalato che lo stesso gruppo ha hackerato un’importante azienda mediatica europea nel settembre 2024. Nell’attacco alle organizzazioni francesi, i criminali hanno sfruttato tre vulnerabilità in Ivanti CSA: CVE-2024-8963, CVE-2024-9380 e CVE-2024-8190 . Queste vulnerabilità sono state sfruttate come precedentemente sconosciute, consentendo agli aggressori di infiltrarsi nei sistemi senza essere rilevati, ottenere credenziali e introdursi nell’infrastruttura.

Per introdursi nelle reti, gli aggressori hanno utilizzato tre metodi. Hanno installato direttamente webshell PHP o modificato script PHP esistenti, aggiungendovi funzioni webshell nascoste. Inoltre, hanno utilizzato un rootkit, introdotto a livello di kernel del sistema. Gli aggressori hanno utilizzato attivamente web shell pubbliche note come Behinder e neo-reGeorg. Dopo aver preso piede, hanno utilizzato GOREVERSE per muoversi lateralmente all’interno della rete. Hanno anche utilizzato il tunnel proxy HTTP suo5 e un modulo del kernel Linux chiamato “sysinitd.ko”, precedentemente rilevato da Fortinet.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.