Cybersecurity Company Sentinelone heeft onthuld dat een China-Nexus-dreigingscluster wordt nagesynchroniseerd Paarsehaze Verkenningspogingen uitgevoerd tegen zijn infrastructuur en sommige van zijn hoogwaardige klanten.
“We werden voor het eerst op de hoogte van dit dreigingscluster tijdens een inbreuk in 2024 die werd uitgevoerd tegen een organisatie die eerder hardware -logistieke diensten verleende aan werknemers van Sentinelone,” zei beveiligingsonderzoekers Tom Hegel, Aleksandar Milenkoski en Jim Walter zei in een analyse die maandag werd gepubliceerd.
PurpleHaze wordt beoordeeld als een hacking crew met losse banden met een andere door de staat gesponsorde groep bekend als APT15, die ook wordt gevolgd als vlooien, nylon typhoon (voorheen nikkel), speelse Taurus, Royal Apt en Vixen Panda.
Het tegenstanders is ook waargenomen gericht op een niet nader genoemde Zuid-Aziatische overheidsondersteunende entiteit in oktober 2024, met een Operational Relay Box (ORB) -netwerk en een Windows Backdoor Nagebed Goreshell.
Het implantaat, geschreven in de GO-programmeertaal, hergebruikt een open-source tool genaamd Reverse_SSH om omgekeerde SSH-verbindingen in te stellen met eindpunten onder de controle van de aanvaller.
“Het gebruik van ORB -netwerken is een groeiende trend bij deze bedreigingsgroepen, omdat ze snel kunnen worden uitgebreid om een dynamische en evoluerende infrastructuur te creëren die het volgen van cyberspionage -operaties en hun toeschrijving uitdagend maakt,” melden de onderzoekers.
Verdere analyse heeft vastgesteld dat dezelfde Zuid-Aziatische overheidsentiteit ook eerder in juni 2024 was gericht met Shadowpad (AKA Poisonplug), een bekende achterdeur die breed wordt gedeeld tussen China-Nexus spionagegroepen. Shadowpad wordt beschouwd als een opvolger van een andere achterdeur die Plugx wordt genoemd.
Dat gezegd hebbende, omdat Shadowpad de afgelopen maanden ook als een leiding wordt gebruikt om ransomware te leveren, blijft de exacte motivatie achter de aanval onduidelijk. De ShadowPad -artefacten zijn gevonden die worden verduisterd met behulp van een op maat gemaakte compiler genaamd ScatterBrain.
De exacte aard van de overlapping tussen de activiteit van juni 2024 en de latere PurpleHaze -aanvallen is nog onbekend. Er wordt echter aangenomen dat dezelfde dreigingsacteur achter hen zou kunnen zijn.
De ScatterBrain-Obfuscated Shadowpad wordt naar schatting in intrusies gebruikt die gericht zijn op meer dan 70 organisaties die productie, overheids-, financiën-, telecommunicatie- en onderzoekssectoren omvatten nadat ze waarschijnlijk een N-Day-kwetsbaarheid in checkpoint gateway-apparaten hebben benut.
Een van de slachtoffers van deze aanvallen omvatte de organisatie die toen verantwoordelijk was voor het beheer van hardwaremogistiek voor werknemers van Sentinelone. Het cybersecuritybedrijf merkte echter op dat het geen bewijs vond van een secundair compromis.
Het is niet alleen China, want Sentinelone zei dat het ook pogingen van Noord-Korea-Werknemers heeft waargenomen om banen bij het bedrijf te beveiligen, inclusief het Sentinellabs Intelligence Engineering-team, via ongeveer 360 neppersonas en meer dan 1.000 sollicitaties.
Last but not least hebben ransomware-operators gericht op Sentinelone en andere enterprise-gerichte beveiligingsplatforms, proberen toegang te krijgen tot hun tools om het vermogen van hun software om detectie te evalueren.
Dit wordt gevoed door een actieve ondergrondse economie die draait om het kopen, verkopen en huren van toegang tot dergelijke bedrijfsbeveiligingsaanbiedingen op berichten -apps en forums zoals XSS (.) Is, exploit (.) In en helling.
“Hele servicebods zijn naar voren gekomen rond dit ecosysteem, inclusief ‘EDR Testing-as-a-Service’, waar acteurs malware discreet kunnen evalueren tegen verschillende eindpuntbeschermingsplatforms,” legden de onderzoekers uit.
“Hoewel deze testdiensten mogelijk geen directe toegang verlenen tot volledige EDR-consoles of agenten, bieden ze aanvallers semi-privé-omgevingen om kwaadaardige ladingen te verfijnen zonder de dreiging van blootstelling-waardoor de kans op succes in real-world aanvallen drastisch wordt verbeterd.”
Een ransomware -groep die deze dreiging voor een geheel nieuw niveau brengt, is stikstof, waarvan wordt aangenomen dat het wordt geleid door een Russische onderdaan. In tegenstelling tot typische benaderingen waarbij insiders worden benaderen of legitieme referenties gebruiken die zijn geoogst uit infontealerlogboeken, neemt stikstof een andere strategie aan door zich voor te doen als echte bedrijven.
Dit wordt bereikt door Lookalike -domeinen op te zetten, vervalste e -mailadressen en gekloonde infrastructuur die legitieme bedrijven nabootst, waardoor de dreigingsacteur officiële licenties kan kopen voor EDR en andere beveiligingsproducten.
“Dit soort sociale engineering wordt met precisie uitgevoerd,” zeiden de onderzoekers. “Stikstof richt zich meestal op kleine, licht doorgelichte wederverkopers – houden interacties minimaal en vertrouwen op de inconsistente KYC (Ken uw klant) -praktijken van resellers om door de scheuren te glippen.”
