フランスのサイバーセキュリティ機関は火曜日、同国の政府、通信、メディア、金融、運輸分野にわたる複数の組織が、中国のハッカーグループによる悪意あるキャンペーンの影響を受けたことを明らかにしました。この攻撃では、Ivanti Cloud Services Appliance(CSA)デバイスの複数のゼロデイ脆弱性が武器化されていました。
このキャンペーンは2024年9月初旬に検知され、Houkenというコードネームの独自の侵入セットに帰属されています。これはGoogle MandiantがUNC5174(別名UteusまたはUetus)という名称で追跡している脅威クラスターと一部重複があると評価されています。
「オペレーターはゼロデイ脆弱性や高度なルートキットを使用する一方で、中国語話者の開発者によって主に作成された多数のオープンソースツールも活用しています」とフランス国家情報システムセキュリティ庁(ANSSI)は述べています。「Houkenの攻撃インフラは、商用VPNや専用サーバーなど多様な要素で構成されています。」
同庁は、Houkenが2023年以降、初期アクセスブローカーによって使用されている可能性が高いと推測しています。これは標的ネットワークへの足がかりを得て、その後、さらなる攻撃活動を行いたい他の脅威アクターと共有されるという、脆弱性悪用におけるマルチパーティアプローチを反映しています(HarfangLabの指摘)。
「第一の関係者が脆弱性を特定し、第二の関係者がそれを大規模に利用して機会を創出し、その後アクセスが第三の関係者に分配され、さらに興味深い標的の開発を試みる」とフランスのサイバーセキュリティ企業は今年2月に指摘しています。
「UNC5174およびHoukenの侵入セットの背後にいるオペレーターは、主に価値ある初期アクセスを、洞察に富んだ情報を求める国家関係者に販売することを狙っている可能性が高い」と同庁は付け加えています。
最近数か月で、UNC5174はSAP NetWeaverの脆弱性を悪用し、GoReShellの亜種であるGOREVERSEを配信したとされています。このハッカーグループは過去にも、Palo Alto Networks、Connectwise ScreenConnect、F5 BIG-IPソフトウェアの脆弱性を利用し、SNOWLIGHTマルウェアを配信しており、これはさらにGOHEAVYというGolang製のトンネリングユーティリティを落とすために使われています。
SentinelOneの別のレポートでは、2024年9月下旬に「欧州の大手メディア組織」に対する侵入がこの脅威アクターによるものとされています。
ANSSIが記録した攻撃では、攻撃者がIvanti CSAデバイスの3つのセキュリティ欠陥、CVE-2024-8963、CVE-2024-9380、CVE-2024-8190をゼロデイとして悪用し、認証情報の取得や永続化の確立を次の3つの方法のいずれかで行っていることが観測されています。
- PHPウェブシェルを直接展開する
- 既存のPHPスクリプトを改変してウェブシェル機能を注入する
- ルートキットとして機能するカーネルモジュールをインストールする
これらの攻撃は、Behinderやneo-reGeorgなどの公開されているウェブシェルの使用が特徴であり、その後、横展開後の永続化維持のためにGOREVERSEが展開されます。また、HTTPプロキシトンネリングツールであるsuo5や、「sysinitd.ko」と呼ばれるLinuxカーネルモジュールも使用されています。これはFortinetが2024年10月と2025年1月に記録しています。
「これはカーネルモジュール(sysinitd.ko)とユーザ空間の実行ファイル(sysinitd)で構成されており、シェルスクリプトinstall.shの実行を通じて標的デバイスにインストールされます」とANSSIは述べています。「全ポートにわたる受信TCPトラフィックをハイジャックし、シェルを呼び出すことで、sysinitd.koおよびsysinitdはリモートからroot権限で任意のコマンドを実行可能にします。」
これだけではありません。偵察活動を行い、中国標準時(UTC+8)で活動していることに加え、攻撃者は他の無関係なアクターによる悪用を防ぐためとみられる脆弱性のパッチ適用も試みていたことが観測されています、とANSSIは付け加えました。
脅威アクターは、東南アジアの政府および教育分野、中国(香港・マカオを含む)所在の非政府組織、西側諸国の政府、防衛、教育、メディア、通信分野など、広範な標的範囲を持っていると疑われています。
さらに、HoukenとUNC5174の間の手口の類似性から、両者が共通の脅威アクターによって運用されている可能性も指摘されています。とはいえ、少なくとも1件の事例では、脅威アクターがアクセスを利用して暗号資産マイナーを展開していたとされ、金銭的動機が強調されています。
「HoukenおよびUNC5174の侵入セットの背後にいる脅威アクターは、民間組織である可能性があり、アクセスや価値あるデータを複数の国家関係組織に販売しつつ、自らの利益を追求して収益性の高い活動を展開している」とANSSIは述べています。
翻訳元: https://thehackernews.com/2025/07/chinese-hackers-exploit-ivanti-csa-zero.html