Η εταιρεία κυβερνοασφάλειας SentinelOne ανακοίνωσε ότι οι Κινέζοι hackers PurpleHaze επιχείρησαν να συλλέξουν πληροφορίες σχετικά με την υποδομή της και κάποιους από τους σημαντικούς της πελάτες.
«Εντοπίσαμε αυτή την απειλή για πρώτη φορά κατά τη διάρκεια μιας παραβίασης το 2024, σε έναν οργανισμό που στο παρελθόν παρείχε υπηρεσίες hardware logistics σε εργαζομένους της SentinelOne», ανέφεραν οι ειδικοί ασφαλείας Tom Hegel, Aleksandar Milenkoski και Jim Walter σε έκθεση που δημοσιεύτηκε τη Δευτέρα.
Η PurpleHaze φέρεται να έχει κάποιες χαλαρές συνδέσεις με μια κρατικά υποστηριζόμενη κινεζική ομάδα γνωστή ως APT15.
Δείτε επίσης: Οι hackers Scattered Spider πίσω από την επίθεση στη Marks & Spencer;
Η ίδια ομάδα έχει καταγραφεί να στοχεύει έναν ανώνυμο φορέα που προσφέρει υποστήριξη σε κυβερνητικό οργανισμό της Νότιας Ασίας, χρησιμοποιώντας ένα operational relay box (ORB) network και ένα κακόβουλο πρόγραμμα backdoor για Windows με την ονομασία GoReShell.
Αυτό το implant, γραμμένο στη γλώσσα προγραμματισμού Go, αξιοποιεί ένα εργαλείο ανοιχτού κώδικα με την ονομασία reverse_ssh για να δημιουργεί reverse SSH connections, επιτρέποντας στους εισβολείς να ελέγχουν απομακρυσμένα τα συστήματα-στόχους.
Οι ερευνητές επισήμαναν ότι η αξιοποίηση των δικτύων ORB αποτελεί μια ολοένα και πιο διαδεδομένη πρακτική ανάμεσα σε αυτές τις ομάδες απειλών, καθώς επιτρέπουν τη γρήγορη ανάπτυξη μιας ευέλικτης και μεταβαλλόμενης υποδομής, δυσκολεύοντας τον εντοπισμό και την απόδοση ευθυνών για τις ενέργειες κυβερνοκατασκοπείας.
Η περαιτέρω διερεύνηση αποκάλυψε πως ο ίδιος οργανισμός της Νότιας Ασίας είχε δεχθεί επίθεση και τον Ιούνιο του 2024, μέσω της χρήσης του ShadowPad (γνωστού και ως PoisonPlug), ενός διαβόητου backdoor που χρησιμοποιείται ευρέως από κινεζικές ομάδες κατασκοπείας. Το ShadowPad θεωρείται ο διάδοχος του PlugX, ενός άλλου γνωστού κακόβουλου εργαλείου.
Παρόλο που το ShadowPad έχει χρησιμοποιηθεί πρόσφατα και για την εγκατάσταση ransomware, τα ακριβή κίνητρα της συγκεκριμένης επίθεσης παραμένουν ασαφή. Τα τεχνικά στοιχεία υποδηλώνουν ότι η παραλλαγή του ShadowPad που χρησιμοποιήθηκε είχε τροποποιηθεί μέσω ενός ειδικού compiler με το όνομα ScatterBrain.
Δείτε επίσης: Οι hackers Storm-1977 στοχεύουν υποδομές cloud στον εκπαιδευτικό τομέα
Αν και δεν είναι ξεκάθαρο κατά πόσο σχετίζονται οι επιθέσεις του Ιουνίου με τις ενέργειες των hackers PurpleHaze, οι ειδικοί θεωρούν πιθανό ότι πίσω και από τις δύο επιχειρήσεις βρίσκεται ο ίδιος δράστης.
Το εξελιγμένο ShadowPad, σε συνδυασμό με το ScatterBrain, φέρεται να έχει χρησιμοποιηθεί σε παραβιάσεις που έπληξαν πάνω από 70 οργανισμούς, ενδεχομένως μέσω εκμετάλλευσης γνωστής ευπάθειας (N-day) σε συσκευές CheckPoint. Ένα από τα θύματα των εν λόγω επιθέσεων ήταν ο οργανισμός που είχε τότε την ευθύνη για τις υπηρεσίες hardware logistics για τους υπαλλήλους της SentinelOne. Παρ’ όλα αυτά, η εταιρεία κυβερνοασφάλειας ανέφερε ότι δεν εντόπισε ενδείξεις για περαιτέρω παραβίαση εντός των δικών της συστημάτων.
Ωστόσο, οι απειλές δεν περιορίζονται μόνο στην Κίνα. Η SentinelOne αποκάλυψε ότι εντόπισε απόπειρες διείσδυσης και από άτομα που σχετίζονται με τη Βόρεια Κορέα. Συγκεκριμένα, υπήρξαν προσπάθειες να προσληφθούν σε θέσεις εντός της εταιρείας — ακόμα και στην ομάδα αναλυτών της SentinelLabs — μέσω της χρήσης περίπου 360 ψεύτικων ταυτοτήτων και 1.000 αιτήσεων εργασίας.
Επιπλέον, οι επιθέσεις ransomware έχουν αρχίσει να στοχεύουν απευθείας τη SentinelOne και παρόμοιες εταιρείες ασφαλείας που εστιάζουν στην επιχειρησιακή προστασία, επιδιώκοντας να αποκτήσουν πρόσβαση στα εργαλεία τους ώστε να αξιολογήσουν κατά πόσο μπορούν να εντοπίζουν ή να αποτρέπουν κακόβουλες δραστηριότητες.
Δείτε επίσης: Οι hackers Storm-1977 στοχεύουν υποδομές cloud στον εκπαιδευτικό τομέα
Αυτή η τάση ενισχύεται από μια παράνομη αγορά που έχει διαμορφωθεί γύρω από την πώληση, ενοικίαση ή αγορά πρόσβασης σε λογισμικά εταιρικής ασφάλειας, συχνά μέσω εφαρμογών ανταλλαγής μηνυμάτων και πλατφορμών όπως τα φόρουμ XSS[.]is, Exploit[.]in και RAMP.
«Έχει προκύψει μια ολόκληρη σειρά υπηρεσιών μέσα σε αυτό το οικοσύστημα», ανέφεραν οι αναλυτές, «συμπεριλαμβανομένων και των λεγόμενων υπηρεσιών “EDR Testing-as-a-Service”, οι οποίες επιτρέπουν στους επιτιθέμενους να δοκιμάζουν την αποτελεσματικότητα του κακόβουλου λογισμικού τους ενάντια σε συστήματα ανίχνευσης απειλών».
Αυτές οι απόπειρες επιθέσεων δείχνουν ότι κορυφαίες εταιρείες στον τομέα της κυβερνοασφάλειας βρίσκονται στο στόχαστρο των hackers.
Η επιλογή στόχων υψηλής αξίας δείχνει πως οι επιτιθέμενοι πιθανώς δεν ενδιαφέρονται μόνο για βιομηχανική κατασκοπεία, αλλά ενδέχεται να προετοιμάζουν πιο εξελιγμένες ή καταστροφικές επιθέσεις. Το γεγονός ότι κρατικές ομάδες επικεντρώνεται σε πάροχο λύσεων ασφαλείας είναι στρατηγικά επικίνδυνο, αφού μπορεί να θέσει σε κίνδυνο πολλαπλούς οργανισμούς μέσω της αλυσίδας εφοδιασμού.
Πηγή: thehackernews.com
