法國國家網路安全局(ANSSI)發現一起特殊的攻擊手法:疑似中國背景的威脅行為者利用未修補的Ivanti漏洞入侵目標網路後,竟然主動修補這些漏洞,目的是阻止其他駭客集團利用相同漏洞入侵同一個網路。
這種「逆向修補管理」的攻擊策略顯示威脅行為者的思維正在演進。ANSSI研究人員在去年9月觀察到這種攻擊手法針對法國境內組織發動攻擊,並認為這場攻擊活動仍在持續進行。
ANSSI將這套攻擊手法稱為「Houken」,該機構認為這與Mandiant追蹤的初始存取代理商UNC5174使用的入侵工具組相同。
三大零日漏洞成攻擊跳板
在ANSSI分析的每一起攻擊中,攻擊者都利用三個Ivanti Connect Secure漏洞獲得目標網路的初始存取權限:
- CVE-2024-8190
- CVE-2024-8963
- CVE-2024-9380
這些漏洞都是以零日漏洞的形式被利用,意味著攻擊發生時Ivanti尚未察覺或提供修補程式。攻擊者成功入侵後,會迅速取得憑證、建立持久性機制,並修補原本讓他們得以入侵的系統漏洞。
初始存取代理商商業模式
ANSSI評估,這些威脅行為者的主要動機是將被入侵網路的存取權限轉售給其他犯罪集團。法國CERT在技術分析中指出,Houken是一個合理推測由初始存取代理商操作的入侵工具組,其操作者的主要動機是透過竊取憑證和部署持久性機制來獲得初始存取權限。
不過,ANSSI也觀察到威脅行為者在某些情況下會在被入侵的網路中進行進一步的攻擊活動,包括橫向移動和部署更多持久性機制。
Mandiant將UNC5174描述為中國國家安全部(MSS)的可能承包商,
該集團已透過F5 BIG-IP和ConnectWise ScreenConnect技術的漏洞入侵美國、加拿大和其他地區的數百個組織。
其受害者包括美國的國防承包商、英國的政府機構,以及亞洲多個可能引起中國MSS興趣的組織。在Mandiant觀察到的F5設備攻擊中,威脅行為者同樣在利用漏洞獲得初始存取權限後,嘗試自行修補漏洞。
防止競爭對手的「圈地」戰術
Sonatype首席安全研究員Garrett Calpouzos表示,
自行修補是進階威脅組織使用的策略,目的是防止其他組織搶奪他們可能已經入侵的網路,同時保持不被發現的狀態。
這種修補程式的開發通常不需要極高的技術水準,只需要足夠的技術技能來防止與其他威脅組織重疊,並能更長時間保持低調。
研究人員認為,更精密的攻擊者會在利用漏洞後開發自己的客製化修復程式。攻擊者建立的修補程式通常很簡單,只需要足以關閉入侵點並阻止其他行為者利用相同漏洞即可。
資源運用呈現矛盾性
ANSSI評估Houken入侵工具組的操作者為中等精密度的威脅行為者,其特點是「資源使用的矛盾性」。
該組織一方面利用多個零日漏洞、精密的Rootkit和專用伺服器進行攻擊活動,另一方面也使用多種開源工具、NordVPN和ExpressVPN等商業VPN服務,以及住宅IP位址作為攻擊基礎設施。
ANSSI指出:「一方面,我們觀察到受害者環境中出現嘈雜和初級的行為,以及通用攻擊工具的部署,這可能表明用於工具開發的資源有限。另一方面,研究零日漏洞和開發Rootkit並非簡單的活動,這表明威脅行為者可能擁有大量資源。」
ANSSI觀察到的Houken攻擊針對法國多個行業的組織,包括金融服務、媒體、運輸、電信和政府部門。但該組織的受害者涵蓋多個國家,特別是東南亞國家,包括泰國、越南、印尼、香港和澳門。
雖然這次 ANSSI 報告的 Houken 攻擊主要針對法國,但與其相關的 UNC5174 集團確實有針對台灣智庫的攻擊記錄。考慮到台灣在地緣政治上對中國的重要性,台灣很可能是這類攻擊的持續目標之一。
延伸閱讀:中國駭客集團發動「ShadowPad」與「PurpleHaze」雙重攻擊,資安商成目標
這起事件凸顯了幾個重要的資安議題:
- 漏洞管理的迫切性:組織必須建立快速的漏洞修補機制,避免成為零日漏洞的受害者。
- 威脅情報的重要性:了解威脅行為者的新戰術有助於改善防禦策略。
- 網路分割的必要性:適當的網路分割可以限制攻擊者的橫向移動能力。
- 持續監控:建立全面的監控機制,及時發現異常活動和未經授權的系統變更。
這種「先攻擊後修補」的策略顯示網路犯罪生態系統正變得更加複雜和競爭激烈,組織必須提升資安防護能力以應對這些不斷演進的威脅。
本文轉載自darkreading。