Крупная кампания кибератак на Ivanti Cloud Service Appliance: анализ инцидента
В сентябре 2024 года была зафиксирована масштабная кампания кибератак, нацеленная на устройства Ivanti Cloud Service Appliance (CSA). Злоумышленники воспользовались несколькими уязвимостями нулевого дня — CVE-2024-8190, CVE-2024-8963 и CVE-2024-9380 — что позволило им получить удалённый доступ и исполнить произвольный код на устройствах жертв. До публикации рекомендаций по безопасности от Ivanti злоумышленники успели реализовать масштабные вредоносные действия, в частности, сбор учетных данных и обеспечение постоянного контроля над системами.
Методы атаки и инструменты злоумышленников
Основную роль в кампании сыграла группа, обозначенная как Houken. Их действия отличались высоким уровнем системности и целенаправленности:
- Для первоначального проникновения использовались уязвимости нулевого дня, обеспечивающие практически неограниченный доступ;
- На заражённых устройствах разворачивались веб-оболочки на PHP, позволяющие дистанционно управлять системой;
- Устанавливался сложный руткит, включающий модуль ядра и исполняемые файлы в пользовательском пространстве, перехватывающие входящий TCP-трафик и обеспечивающие запуск команд с привилегиями root;
- Для извлечения учетных данных запускался скрипт на Python в кодировке base64, расшифровывающий данные администратора из базы PostgreSQL;
- Использовались модифицированные легитимные PHP-скрипты для усиления контроля и устойчивости злоумышленников;
- Веб-оболочки создавались на основе open source инструментов, многие из которых с китайскоязычной документацией и разработчиками;
- Для обеспечения анонимности использовались коммерческие VPN-сервисы, выделенные серверы и IP-адреса резидентов.
Цель атак и особенности поведения злоумышленников
Инициатива Houken была направлена на:
- сбор критически важных учетных данных;
- поддержание долгосрочного доступа к корпоративным системам;
- возможную передачу информации или доступа третьим лицам, в том числе разведывательным структурам.
Особый интерес злоумышленников вызвали французские организации из сфер:
- государственного управления,
- телекоммуникаций,
- средств массовой информации,
- финансов,
- транспорта.
Важной деталью стал временной профиль активности — атаки преимущественно осуществлялись в часовом поясе UTC+8, совпадающем с китайским стандартным временем, что может свидетельствовать о связях хакеров с данным регионом.
Технический анализ и сходство с известными группами
ANSSI (Agence nationale de la sécurité des systèmes d’information) выявила повторяющуюся схему вторжений, включающую использование устройств Ivanti CSA как плацдарма для проникновения во внутренние сети и дальнейшего сбора учетных данных.
Инфраструктура Houken intrusion set отражает совмещение изощрённости и оппортунистического подхода:
- использование коммерческих VPN для повышения анонимности и защиты коммуникаций;
- применение выделенных серверов и IP-адресов резидентов для управления;
- зависимость от внешних сервисов и ресурсов, что свидетельствует о масштабности поддержки или сотрудничества с другими участниками.
Активность Houken дублирует тактику известных групп, в частности UNC5174, характеризующуюся:
- эксплуатацией критических уязвимостей для первоначального доступа;
- оперативным сбором учетных данных;
- использованием модулей ядра и руткитов для сокрытия присутствия;
- внедрением и поддержанием долговременного контроля в скомпрометированных средах;
- применением инструментов, таких как GOREVERSE и различных PHP-веб-оболочек;
- модификацией легитимных файлов для усиления устойчивости.
Выводы и рекомендации
Данная кампания демонстрирует растущую угрозу эксплуатации уязвимостей нулевого дня в критически важных IT-системах. Действия группы Houken указывают на хорошо организованное и ресурсно обеспеченное киберпреступное формирование, нацеленное на извлечение выгоды через кражу учетных данных и долговременную эксплуатацию систем.
Чтобы минимизировать риск подобных вторжений, организациям рекомендуется:
- оперативно внедрять обновления безопасности и патчи от производителей;
- внедрять системы мониторинга для выявления аномальной активности;
- использовать многофакторную аутентификацию и регулярно проверять учетные записи администратора;
- проводить аудит используемых скриптов и приложений, обращая внимание на модификации;
- контролировать использование VPN и анонимных сервисов внутри корпоративной сети.
В сложившейся ситуации важна скоординированная работа ИБ-специалистов и обмен информацией между организациями для своевременного выявления и нейтрализации угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ кампании Houken: эксплуатация уязвимостей Ivanti CSA в 2024".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.