Национальное агентство по кибербезопасности Франции ANSSI выявило новую кампанию, нацеленную на французские организации в различных секторах. Она была обнаружена в сентябре 2024 года, но могла быть датирована 2023-м.
Используемый хакерами набор, названный Houken, включает эксплойты нулевого дня, инструменты с открытым исходным кодом (вероятно, китайского происхождения), сложный руткит и инфраструктуру атак, содержащую коммерческие решения для VPN и выделенные серверы управления и контроля.
По оценке составителей отчёта, опубликованного группой реагирования на компьютерные чрезвычайные ситуации (CERT-FR) ANSSI, Houken управляется тем же субъектом угроз, что и набор, ранее описанный Google Threat Intelligence Group как UNC5174. Который, как полагают, является первоначальным посредником доступа для Министерства госбезопасности Китая.
В ходе этой недавно выявленной кампании злоумышленники, скорее всего, использовали Houken для получения доступа к сети с целью продажи его связанному с государством субъекту, который ищет разведывательную информацию, считают в ANSSI.
По словам исследователей CERT-FR, взломщики продемонстрировали сочетание несложных и продвинутых тактик. Хотя некоторые из их действий, такие как «шумные» операции и использование общих наступательных инструментов, предполагали ограниченные ресурсы для разработки инструментов, эксплуатация уязвимостей нулевого дня и развёртывание руткитов указывали на доступ к значительным техническим возможностям.
Это расхождение с точки зрения навыков и ресурсов, а также использование нескольких коммерческих выходных узлов VPN или разнообразия выделенных серверов может отражать многоакторный подход, как описано исследовательской группой по киберугрозам HarfangLab в февральском отчёте о той же кампании по эксплуатации уязвимостей Ivanti.
Помимо целей во Франции, уверены в ANSSI, стоящая за Houken группа имеет широкий диапазон целей: Юго-Восточная Азия (Таиланд, Вьетнам, Индонезия), с особым акцентом на правительственный и образовательный секторы, НПО внутри и за пределами Китая, включая Гонконг и Макао, и организации в западных странах, связанные с правительственным, оборонным, образовательным, медийным или телеком-секторами.
Усам Оздемиров
