TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

中国のハッカー、Ivantiのゼロデイ悪用キャンペーンでフランスを標的に

フランスの国家サイバーセキュリティ機関ANSSIは、さまざまな分野のフランス組織を標的とする新たなサイバー侵入キャンペーンを特定した。

このキャンペーンは2024年9月に検知されたが、2023年にさかのぼる可能性もある。「Houken」と名付けられたこの侵入セットは中程度に高度で、ゼロデイ攻撃、(中国由来の可能性が高い)オープンソースツール、洗練されたルートキット、そして商用の仮想プライベートネットワーク(VPN)ソリューションと専用のコマンド&コントロール(C2)サーバーから成る攻撃インフラを伴う。

ANSSIのコンピュータ緊急対応チーム(CERT-FR)が2025年7月1日に公表した報告書で、同機関は、Houken侵入セットは、Google Threat Intelligence Group(GTIG)がUNC5174として以前に説明した侵入セットと同一の脅威アクターによって運用されていると評価した。UNC5174は、中国の国家安全部(MSS)のための初期アクセスブローカーであると考えられている。

この新たに特定されたキャンペーンにおいて、ANSSIは、脅威アクターが情報収集を求める国家関連アクターに販売する目的で、ネットワークへの初期アクセスを得るためにHoukenを使用している可能性が高いと見積もった。

Ivantiのエクスプロイトに関するANSSIの評価

2024年9月初旬、攻撃者はIvanti Cloud Service Appliance(CSA)に影響する重大〜深刻の3つのゼロデイ脆弱性(CVE-2024-8190CVE-2024-8963CVE-2024-9380)を繰り返し悪用し、脆弱なデバイス上で任意のコードをリモート実行した。

攻撃者は3つのエクスプロイトを連鎖させ、base64でエンコードされたPythonスクリプトの実行によって認証情報を取得し、PHPのウェブシェルを配置または作成し、既存のPHPスクリプトを改変してウェブシェル機能を追加し、時にはロードされるとルートキットとして機能するカーネルモジュールをインストールすることで永続化を確保した。

これらの脆弱性は、それぞれ9月10日、9月15日、10月8日に修正された。

さらにANSSIによれば、攻撃者は脆弱性の影響を受けるWebリソースを自己パッチしようと試みており、これは無関係な別のアクターによる追加の悪用を防ぐ意図があった可能性が高い。

「Ivanti CSAデバイスの侵害を通じて被害者ネットワーク内に足場を確立した後、攻撃者は偵察活動を行い、横展開することがあった」とANSSIは述べた。

3件では、Ivanti CSAデバイスの侵害に続いて、被害者の内部情報システムへの横展開が行われた。

これらの攻撃は少なくとも2024年11月まで続き、政府、通信、メディア、金融、運輸分野のフランス組織に影響を与えた。

報告書は、「ANSSIはこれらの組織に対し、フォレンジック分析の実施および当該インシデントに関する是正措置の支援など、重要な支援を提供した」としている。

攻撃者の運用活動のタイムゾーンはUTC+8で、中国標準時(CST)と一致する。

Houken侵入セットに焦点

Houken侵入セットの攻撃インフラは多様な要素で構成され、以下に由来するIPアドレスが含まれていた。

  • ExpressVPN、NordVPN、Proton VPN、Surfsharkなど、一般的で公開アクセス可能な匿名化サービス
  • 専用サーバー(主にHOSTHATCH、ColoCrossing、JVPS.hostingがホストする仮想プライベートサーバー(VPS))
  • Comcast、China Unicom、China Telecom、Airtelなどのインターネットサービスプロバイダー(ISP)
  • GitHubで入手可能な多数のオープンソースツール(ウェブシェルを含む)。多くは中国語話者の開発者によって作成されたもの(例:Neo-reGeorg)
  • 手作りのウェブシェル
  • ルートキットとして機能するLinuxカーネルモジュールおよびユーザー空間バイナリ

CERT-FRの研究者によれば、脅威アクターは未熟な戦術と高度な戦術が混在していた。

騒々しいオペレーションや汎用的な攻撃ツールの使用といった一部の行動は、ツール開発に割けるリソースが限られていることを示唆する一方で、ゼロデイ脆弱性の悪用やルートキットの展開は、相当な技術的能力へのアクセスを示していた。

スキルとリソースの面でのこの乖離、ならびに複数の商用VPNの出口ノードの使用や専用サーバーの多様性は、同じIvanti脆弱性の悪用キャンペーンについてHarfangLabのCyber Threat Research Teamが2025年2月の報告書で述べたように、複数アクターによるアプローチを反映している可能性がある。

フランス国内の標的に加え、ANSSIの報告書は、Houkenの背後にいる脅威アクターが広範な標的範囲を有し、優先順位は以下のとおりであると指摘した。

  • 中国近隣、とりわけ東南アジア(例:タイ、ベトナム、インドネシア)に所在し、政府および教育分野に特に焦点を当てた組織
  • 中国国内外(香港、マカオを含む)のNGO
  • 政府、防衛、教育、メディア、または通信分野に関連する西側諸国に拠点を置く組織

翻訳元: https://www.infosecurity-magazine.com/news/chinese-hackers-france-ivanti/

ソース: infosecurity-magazine.com
#ANSSI #CVE-2024-8190 #Houken #Ivanti CSA #UNC5174 #ゼロデイ脆弱性 #フランス #ルートキット #中国系ハッカー #初期アクセスブローカー

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新