フランスのサイバーセキュリティ機関が火曜日に公開した報告書によると、昨年、Ivanti Cloud Service Applianceデバイスに影響を及ぼす3つのゼロデイ脆弱性を通じて、複数の重要インフラ分野が攻撃を受けました。
フランス国家情報システムセキュリティ庁によれば、政府機関や通信、メディア、金融、運輸業界の組織が、2024年9月初旬から11月下旬にかけて、CVE-2024-8190、CVE-2024-8963、CVE-2024-9380のゼロデイ脆弱性を悪用した広範な攻撃の影響を受けました。
フランス当局は、Mandiantによると、これらの攻撃を中国のハクティビスト集団の元メンバーであり、中国国家安全部の契約業者として活動している可能性が高いUNC5174に帰属させています。この攻撃者は「Uteus」という人物を装っていると考えられており、過去にはConnectWise ScreenConnect、F5 BIG-IP、Atlassian Confluence、Linuxカーネル、Zyxelファイアウォールのエッジデバイス脆弱性を悪用していました。
フランス当局は、UNC5174が「Houken」と名付けた独自の侵入セットを使用していたと結論付けました。これはゼロデイ脆弱性、高度なルートキット、さまざまなオープンソースツール、市販VPN、専用サーバーを利用していました。担当者によると、HoukenとUNC5174は同じ脅威アクターによって運用されている可能性が高く、初期アクセスブローカーとして資格情報を盗み、被害者ネットワークへの永続的なアクセスを確保する仕組みも展開しています。
「UNC5174に関連する脅威アクターがエッジデバイスの脆弱性を機会的に悪用してきたことはすでに記録されていますが、ゼロデイの使用は新しい動きです」とフランスのサイバーセキュリティ機関は報告書で述べています。「UNC5174およびHoukenの侵入セットの背後にいるオペレーターは、主に価値のある初期アクセスを国家関係者に販売し、重要なインテリジェンスを得ようとしていると考えられます。」
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、1月に勧告を発表し、脅威アクターが3つのIvantiゼロデイを連鎖させて初期アクセスを獲得し、リモートコード実行、資格情報の取得、被害者ネットワークへのWebシェルの設置を行っていると警告しました。
Sysdigの研究者は4月、中国の国家支援型ハッキンググループUNC5174が、VShellやWebSocketsなどのオープンソース攻撃ツールを使用し、一般的なサイバー犯罪活動に紛れ込んでいるのを観測したと述べました。
中国関連のスパイ活動グループを含む複数の攻撃者が、Ivanti製品の長期間にわたる脆弱性を繰り返し悪用しています。Ivantiは再犯常習者であり、昨年初め以降、この分野の他のベンダーよりも多くの脆弱性を含むソフトウェアを少なくとも10の製品ラインで2021年以降出荷しています。
CISAの既知の悪用済み脆弱性カタログには、過去4年間で30件のIvantiの欠陥が含まれており、今年に入ってからもIvanti製品の7つの脆弱性が攻撃者に悪用されているとサイバー当局は述べています。
Ivantiはフランス当局の報告書について、すぐにはコメントできませんでした。
翻訳元: https://cyberscoop.com/france-government-ivanti-zero-days-china/