Eine verdeckte Cyberoperation trifft kritische französische Sektoren
Im September 2024 identifizierte die französische Cybersicherheitsbehörde ANSSI einen ausgeklügelten Angriff über unbekannte Schwachstellen in Ivanti Cloud Services Appliance (CSA). Verantwortlich: eine chinesische Gruppe namens Houken, die Regierung, Telekommunikation, Medien, Finanzen und Transport ins Visier nahm.
Die Kampagne war keine Einzelaktion. Sie ähnelte den Methoden von UNC5174 (auch bekannt als Uteus oder Uetus), einem von Google Mandiant beobachteten Cluster. Beide Gruppen sind bekannt für den Einsatz von Zero-Days, Open-Source-Tools und versteckter Malware zur Spionage.
Zero-Days als Waffen: CVE-2024-8963, CVE-2024-9380, CVE-2024-8190
Die Angreifer nutzten drei Ivanti-CSA-Schwachstellen aus, bevor diese öffentlich bekannt wurden. Ihr Ziel: Zugangsdaten abgreifen, dauerhaften Zugriff sichern, und weitere Systeme infiltrieren.
-
Direkte Platzierung von PHP-Webshells
-
Einschleusen von Schadcode in bestehende PHP-Skripte
-
Installation eines Rootkits über Kernel-Module
Öffentlich verfügbare Tools wie Behinder und neo-reGeorg unterstützten laterale Bewegungen. Die Persistenz wurde über Malware wie GOREVERSE (eigene Shell) und GOHEAVY (Golang-Tunnel) gesichert. Das Kernelmodul sysinitd.ko hielt Root-Zugriff aufrecht. Zusammen mit install.sh wurde der TCP-Verkehr manipuliert und Fernzugriff ermöglicht.
Mehrschichtiges Bedrohungsmodell: Initial Access Broker & staatliche Interessen
Die Komplexität deutet auf Initial Access Broker hin, aktiv seit 2023. Ein Akteur entdeckt Schwachstellen, ein anderer nutzt sie aus, ein Dritter verkauft Zugänge weiter. HarfangLab beschreibt dieses Modell als abgestimmten Prozess.
UNC5174 hatte bereits SAP NetWeaver, Palo Alto Networks, ScreenConnect und F5 BIG-IP ins Visier genommen. Ziel: Spionage – aber auch finanzielle Motive, etwa durch das Einbringen von Krypto-Mining-Malware nach dem Zugang.
Gezielte Angriffe mit globaler Tragweite
Neben Frankreich zielten die Angriffe auf:
-
Regierungen und Bildungseinrichtungen in Südostasien
-
NGOs in Festlandchina, Hongkong und Macau
-
Westliche Medien, Verteidigung und Telekommunikation
Diese Bandbreite zeigt: Die Angreifer handeln flexibel – mit staatlicher Rückendeckung, aber wirtschaftlich motiviert. Die Kombination aus Spionage und Profitinteresse unterstreicht die Professionalisierung moderner Bedrohungsakteure.
Schwachstellen patchen, um Rivalen auszuschließen
Ein bemerkenswerter Schritt: Die Angreifer patchten Ivanti nach dem Zugriff selbst – um andere Gruppen auszuschließen. Ein klarer Beleg für den Wettbewerb in der Cyberkriminalität.
Sind Houken und UNC5174 identisch?
Die Gemeinsamkeiten bei Werkzeugen, Taktiken und Zielen legen nahe, dass es sich um dieselben Akteure handeln könnte. Die vollständige Zuordnung bleibt aber offen. ANSSI vermutet: private Auftragnehmer mit staatlicher Loyalität – aber auch finanziellen Eigeninteressen.
Wie Sie Ihr Unternehmen schützen
Diese Kampagne zeigt: Patchen allein reicht nicht. Unternehmen brauchen visuelle Transparenz über seitliche Bewegungen, Verhaltensanalyse und Echtzeit-Threat Intelligence. ZENDATA bietet maßgeschneiderte Sicherheitslösungen gegen Zero-Day-Bedrohungen – inklusive Rootkit-Erkennung, Angriffsanalyse und Verteidigungsstärkung, bevor der Angriff beginnt.
Lesen Sie den vollständigen Artikel auf The Hacker News hier.
