資安業者Ivanti自去年9月至10月上旬,針對Cloud Services Application(CSA)修補CVE-2024-8190、CVE-2024-8963、CVE-2024-9380等多項資安漏洞(CVSS風險介於7.2至9.4分),並表明部分在他們公布之前有已遭利用的跡象,最近有相關調查結果出爐,說明中國駭客在Ivanti提供修補之前,就利用這些弱點攻擊法國。
上述漏洞遭到利用的情況,已有資安業者揭露調查結果。例如,Fortinet指出,9月上旬於客戶環境偵測到漏洞利用活動,當時駭客使用的就是上述3項漏洞;今年SentinelOne也揭露相關活動,有人9月下旬入侵歐洲一家媒體,過程裡使用了CVE-2024-8963和CVE-2024-8190。法國網路安全局(ANSSI)本週發布調查報告指出,去年9月中國駭客也利用這些零時差漏洞發起攻擊行動Houken,對當地的政府機關、電信業者、媒體、金融通構、交通產業下手。
針對這些駭客的身分,ANSSI指出就是資安業者Mandiant揭露的中國駭客UNC5174,Houken很有可能是旗下專門取得初始入侵管道的團隊所為,從2023年就開始從事活動,得逞後將相關資訊轉賣給其他駭客。而對於這些初始入侵管道買家的身分,ANSSI表示大部分是國家級駭客,但他們也看到UNC5174賣給從事挖礦攻擊的駭客組織。
UNC5174鎖定Ivanti CSA設備的攻擊行動,最早發生在去年9月初,當時駭客利用了CVE-2024-8190、CVE-2024-8963、CVE-2024-9380,而能在目標設備上遠端執行任意程式碼。一旦他們成功取得初始入侵管道,就會執行經過Base64演算法處理的Python指令碼,挖掘帳密資料。
接著,為了能持續在受害設備上活動,UNC5174還會部署或產生PHP打造的Web Shell、竄改設備已經存在的PHP指令碼,以便加入Web Shell的功能,此外,在部分攻擊活動裡,駭客會植入核心模組的rootkit程式。
這些駭客也會利用CSA設備做為入侵受害組織的據點,在網路環境進行偵察及橫向移動,並收集更多帳密資料,相關漏洞利用活動一直持續到11月底。附帶一提的是,為了避免其他駭客對受害的CSA設備下手,UNC5174也會試圖自行修補利用的漏洞。
在ANSSI發現的其中3起事故裡,駭客透過CSA設備進行橫向移動,潛入受害組織的內部資訊系統,並透過收集到的帳密資料,維持在受害組織的網路環境活動。
熱門新聞
2025-07-07
2025-07-07
2025-07-08
2025-07-03
2025-07-07
2025-07-04
2025-07-07