L’attività di ricognizione rivolta alla società di sicurezza informatica americana Sentinelone faceva parte di una serie più ampia di intrusioni parzialmente correlate in diversi obiettivi tra luglio 2024 e marzo 2025.
“La vittima comprende un’entità governativa dell’Asia meridionale, un’organizzazione dei media europei e più di 70 organizzazioni in una vasta gamma di settori”, i ricercatori della sicurezza Sentinelone Aleksandar Milenkoski e Tom Hegel disse In un rapporto pubblicato oggi.
Alcuni dei settori mirati includono manifatturiero, governo, finanza, telecomunicazioni e ricerca. Tra le vittime c’erano anche una società di servizi IT e logistica che gestiva la logistica {hardware} per i dipendenti Sentinelone al momento della violazione all’inizio del 2025.
L’attività dannosa è stata attribuita con grande fiducia agli attori della minaccia cinese-sega Purplehazeche, a sua volta, si sovrappone ai gruppi cinesi di spionaggio informatico pubblicamente riportati come APT15 e UNC5174.
Alla fantastic di aprile 2024, Sentinelone Divulso per la prima volta Attività di ricognizione correlata al violade che mirava advert alcuni dei suoi server che erano deliberatamente accessibili su Web per “virtù della loro funzionalità”.
“Le attività dell’attore di minaccia si limitano alla mappatura e alla valutazione della disponibilità di selezionati server rivolti a Web, probabilmente in preparazione a potenziali azioni future”, hanno affermato i ricercatori.
Al momento non è noto se l’intento degli aggressori fosse di colpire l’organizzazione logistica IT o se avevano pianificato di espandere la loro attenzione anche alle organizzazioni a valle. Ulteriori indagini sugli attacchi hanno scoperto sei diversi gruppi di attività (nominati a A a F) che risalgono a giugno 2024 con il compromesso di un’entità governativa del sud dell’Asia meridionale.
I cluster sono elencati di seguito –
- Attività A: Un’intrusione in un’entità governativa dell’Asia meridionale (giugno 2024)
- Attività B: Una serie di intrusioni che mirano alle organizzazioni a livello globale (tra luglio 2024 e marzo 2025)
- Attività C: Un’intrusione in una società IT Providers and Logistics (all’inizio del 2025)
- Attività D: Un’intrusione nella stessa entità governativa dell’Asia meridionale compromesso (ottobre 2024)
- Attività E: Attività di ricognizione destinata ai server Sentinelone (ottobre 2024)
- Attività F: Un’intrusione in una delle principali organizzazioni europee dei media (fantastic settembre 2024)
Si cube che l’attacco di giugno 2024 contro l’entità governativa, come precedentemente dettagliato da Sentinelone, abbia portato allo spiegamento di Shadowpad che è stato offuscato usando Scatterbrain. Gli artefatti e le infrastrutture Shadowpad si sovrappongono con le recenti campagne ShadowPad che hanno offerto una Famiglia Ransomware in codice Nailaolocker seguendo lo sfruttamento dei dispositivi gateway di controllo.
Successivamente, nell’ottobre 2024, la stessa organizzazione period destinata a far cadere un GO Shell inverso soprannominato Goeshell Ciò utilizza SSH per connettersi a un host infetto. Lo stesso backdoor, osservato Sentinelone, è stato utilizzato in relazione a un attacco del settembre 2024 rivolto a una delle principali organizzazioni europee dei media.
Comune anche a questi due cluster di attività è l’uso di strumenti sviluppati da un group di esperti di sicurezza IT che fanno il nome di Hacker’s Selection (Thc). Lo sviluppo segna la prima volta che i programmi software program di THC sono stati abusati da attori sponsorizzati dallo stato.
Sentinelone ha attribuito l’attività F a un attore Cina-Segato con affiliazioni sciolte a un “dealer di accesso iniziale” monitorato da Google Mandiant con il nome UNC5174 (aka uteus o uetus). Vale la pena notare che il gruppo di minacce period recentemente collegato allo sfruttamento attivo dei difetti di SAP Netweaver per consegnare Goreverse, una variante di goreseshell. La società di sicurezza informatica è collettivamente monitorata l’attività D, E e F come Purplehaze.
“L’attore della minaccia sfruttata Sfera (Operational Relay Field) Infrastruttura di rete, che valutiamo per essere gestita dalla Cina e ha sfruttato il CVE-2024-8963 Vulnerabilità insieme a CVE-2024-8190 Per stabilire un punto d’appoggio iniziale, pochi giorni prima che le vulnerabilità fossero pubblicamente divulgate “, hanno detto i ricercatori.” Dopo aver compromesso questi sistemi, si sospetta che l’UNC5174 sia sospettato di trasferire l’accesso advert altri attori delle minacce “.
