Meer dan 70 organisaties in meerdere sectoren gericht op China-gekoppelde cyberspionage-groep

Cyberbeveiliging
Meer dan 70 organisaties in meerdere sectoren gericht op China-gekoppelde cyberspionage-groep

De verkenningsactiviteit gericht op het Amerikaanse cybersecuritybedrijf Sentinelone maakte deel uit van een bredere set gedeeltelijk gerelateerde intrusies in verschillende doelen tussen juli 2024 en maart 2025.

“De slachtofferologie omvat een Zuid -Aziatische overheidsentiteit, een Europese mediaorganisatie en meer dan 70 organisaties in een breed scala van sectoren,” zei Sentinelone -beveiligingsonderzoekers Aleksandar Milenkoski en Tom Hegel in een rapport dat vandaag is gepubliceerd.

Sommige van de beoogde sectoren omvatten productie, overheid, financiën, telecommunicatie en onderzoek. Ook aanwezig onder de slachtoffers was een IT -diensten- en logistiekbedrijf dat op het moment van de inbreuk in het begin van 2025 hardwaremiddelstoffen voor Sentinelone -medewerkers beheerde.

De kwaadaardige activiteit is toegeschreven met veel vertrouwen aan China-Nexus-dreigingsacteurs, met enkele van de aanvallen gebonden aan een bedreigingscluster nagesynchroniseerd Paarsehazedie op zijn beurt overlapt met Chinese cyberspionagegroepen die publiekelijk zijn gerapporteerd als APT15 en UNC5174.

Eind april 2024 onthulde Sentinelone voor het eerst met paarseHaze-gerelateerde verkenningsactiviteit die gericht zijn op enkele van zijn servers die opzettelijk toegankelijk waren via internet door ‘deugd van hun functionaliteit’.

“De activiteiten van de dreigingsacteur waren beperkt tot het in kaart brengen en evalueren van de beschikbaarheid van geselecteerde internetgerichte servers, waarschijnlijk ter voorbereiding op mogelijke toekomstige acties,” zeiden de onderzoekers.

Het is momenteel niet bekend of de intentie van de aanvallers was om zich gewoon te richten op de IT -logistieke organisatie of dat ze van plan waren hun focus ook uit te breiden naar stroomafwaartse organisaties. Verder onderzoek naar de aanvallen heeft zes verschillende activiteitenclusters (genaamd tot A tot F) ontdekt die dateren tot juni 2024 met het compromis van een niet nader genoemde Zuid -Aziatische overheidsentiteit.

De clusters worden hieronder vermeld –

  • Activiteit A: Een indringing in een Zuid -Aziatische regeringsentiteit (juni 2024)
  • Activiteit B: Een reeks intrusies die organisaties wereldwijd richten (tussen juli 2024 en maart 2025)
  • Activiteit C: Een indringing in een IT -diensten- en logistiekbedrijf (begin 2025)
  • Activiteit D: Een indringing in dezelfde Zuid -Aziatische overheidsentiteit gecompromitteerd (oktober 2024)
  • Activiteit E: Verkenningsactiviteit gericht op SentinelOne -servers (oktober 2024)
  • Activiteit f: Een indringing in een toonaangevende Europese mediaorganisatie (eind september 2024)

De aanval van juni 2024 op de overheidsentiteit, zoals eerder gedetailleerd door Sentinelone, zou hebben geleid tot de inzet van Shadowpad die wordt verduisterd met behulp van ScatterBrain. De ShadowPad -artefacten en infrastructuur overlappen over de recente ShadowPad -campagnes die een ransomware -familie codenaam -Nailaolocker hebben afgeleverd na de exploitatie van Check Point Gateway -apparaten.

Vervolgens in oktober 2024 was dezelfde organisatie het doelwit om een ​​GO-gebaseerde reverse shell Goreshell te laten vallen die SSH gebruikt om verbinding te maken met een geïnfecteerde host. Dezelfde achterdeur, merkte Sentinelone op, is gebruikt in verband met een aanval in september 2024 gericht op een toonaangevende Europese mediaorganisatie.

Ook gebruikelijk voor deze twee activiteitenclusters is het gebruik van tools die zijn ontwikkeld door een team van IT -beveiligingsexperts die de naam The Hacker’s Choice (THC) gebruiken. De ontwikkeling markeert de eerste keer dat de softwareprogramma’s van THC zijn misbruikt door door de overheid gesponsorde acteurs.

Sentinelone heeft activiteit F toegeschreven aan een China-Nexus-acteur met losse banden met een “initiële toegangsmakelaar” die wordt gevolgd door Google Mandiant onder de naam UNC5174 (aka Uteus of Uetus). Het is vermeldenswaard dat de dreigingsgroep onlangs is gekoppeld aan de actieve uitbuiting van SAP Netweaver -fouten om Gorevers te leveren, een variant van Goreshell. Het Cybersecurity Company volgt collectief activiteit D, E en F als PurpleHaze.

“De dreigingsacteur Leveraged ORB (Operational Relay Box) Netwerkinfrastructuur, die we beoordelen om uit China te worden geëxploiteerd, en heeft de CVE-2024-8963 kwetsbaarheid geëxploiteerd samen met CVE-2024-8190 om een ​​eerste voet aan de grond te vestigen, enkele dagen voordat de kwetsbaarheden openbaar werden gemaakt,” zeiden de onderzoekers. “Na het compromitteren van deze systemen wordt UNC5174 ervan verdacht de toegang tot andere dreigingsactoren over te dragen.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Pixel 9 vs Google Pixel 9 Pro XL -specificaties

Draag OS 6 kan een ‘waterslot’ -modus naar uw pixelwacht brengen

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]