Un sofisticado grupo de amenazas chino identificado como Houken ha estado explotando múltiples vulnerabilidades de día cero en dispositivos de dispositivos de servicio en la nube Ivanti (CSA) para implementar RootKits de Linux avanzados y establecer un acceso persistente a redes de infraestructura críticas.
La campaña, que comenzó en septiembre de 2024, ha comprometido con éxito a las organizaciones en sectores gubernamental, de telecomunicaciones, medios de comunicación, finanzas y de transporte en Francia y más allá.
El ataque aprovecha una cadena de tres vulnerabilidades críticas: CVE-2024-8190, CVE-2024-8963 y CVE-2024-9380, todos explotados como días cero antes de que se publicaran los avisos de seguridad de Ivanti.
Esta explotación coordinada demuestra las capacidades avanzadas de la amenaza de los actores en la investigación de vulnerabilidad y su acceso a fallas de seguridad previamente desconocidas.
El alcance global de la campaña se extiende por el sudeste asiático, Europa y Estados Unidos, con un enfoque particular en instituciones de investigación, organizaciones no gubernamentales y entidades de valor de inteligencia estratégica.
Analistas de SSI de certificación identificado La intrusión de Houken se establece a través del análisis forense integral de la infraestructura francesa comprometida, revelando patrones operativos consistentes con las actividades del tiempo estándar de China (UTC+8).
La investigación descubrió los enlaces entre Houken y el conjunto de intrusiones UNC5174 previamente documentado, lo que sugiere la coordinación por un actor de amenaza común que opera como un corredor de acceso inicial para la recopilación de inteligencia patrocinada por el estado.
Los atacantes demuestran una combinación paradójica de técnicas sofisticadas y herramientas de productos básicos, utilizando exploits de día cero junto con utilidades de código abierto desarrolladas principalmente por programadores de habla china.
Su infraestructura combina servicios de VPN comerciales, incluidos NordVPN y ExpressVPN, con servidores dedicados de comando y control, lo que indica una colaboración de múltiples actores o prácticas de seguridad operativas deliberadamente diversas.
Mecanismos avanzados de implementación y persistencia de RootKit
El aspecto más preocupante del kit de herramientas de Houken es su implementación de un RootKit Linux previamente no observado que comprende dos componentes: un módulo de kernel (Sysinitd.KO) y un ejecutable de espacio de usuario (Sysinitd).
Este sofisticado mecanismo de persistencia secuestra el tráfico TCP entrante en todos los puertos, lo que permite la ejecución de comandos remotos con privilegios raíz a través de una técnica que evita el monitoreo de la red tradicional.
La instalación de RootKit comienza con la ejecución de WebShells creadas a través de la explotación de vulnerabilidad.
Por ejemplo, los atacantes usan CVE-2024-9380 para inyectar código PHP malicioso:-
echo “/opt/landesk/broker/webroot/rc/help.php
Una vez que se establece el acceso inicial, los actores de amenaza implementan los componentes RootKit y establecen múltiples mecanismos de persistencia.
Modifican los scripts de PHP legítimos al agregar código malicioso a /etc/php.ini, habilitando la ejecución de comandos universales independientemente de a qué página web se acceda. La modificación incluye la configuración de TInsod_url_include = en y utilizar las funciones de evaluación de PHP codificadas en Base64 que decodifican “.
La capacidad de secuestro TCP del RootKit representa un avance significativo en la tecnología de persistencia, lo que permite a los atacantes mantener el acceso incluso cuando se descubren y eliminan las puestas tradicionales, lo que hace que la detección y la remediación sea particularmente desafiante para los defensores.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
