SentinelOne expõe campanha de espionagem chinesa mirando sua infraestrutura e clientes

A empresa de segurança cibernética SentinelOne revelou uma campanha de espionagem com laços na China, batizada de PurpleHaze, que realizou tentativas de reconhecimento contra sua própria infraestrutura e alguns de seus clientes de alto valor.

"Tomamos conhecimento desse grupo hacker pela primeira vez durante uma intrusão em 2024 contra uma organização que anteriormente prestava serviços de logística de hardware para funcionários da SentinelOne", afirmaram os pesquisadores de segurança Tom Hegel, Aleksandar Milenkoski e Jim Walter em uma análise publicada.

A PurpleHaze é considerada uma equipe de invasores com conexões indiretas com outro grupo patrocinado por um estado, conhecido como APT15 e rastreado também como Flea, Nylon Typhoon (anteriormente Nickel), Playful Taurus, Royal APT e Vixen Panda. O coletivo de invasores também foi observado mirando uma entidade governamental não identificada do sul da Ásia em outubro de 2024, empregando uma rede de retransmissão operacional (ORB) e um backdoor para Windows chamado GoReShell.

O implante, escrito na linguagem de programação Go, reaproveita uma ferramenta de código aberto chamada reverse_ssh para configurar conexões SSH reversas para endpoints sob o controle dos invasores. "O uso de redes ORB é uma tendência crescente entre esses grupos de ameaças, já que podem ser rapidamente expandidas para criar uma infraestrutura dinâmica e em evolução que dificulta o rastreamento de operações de ciberespionagem e sua atribuição", destacaram os pesquisadores.

Análises posteriores determinaram que a mesma entidade governamental do sul da Ásia também foi alvo anteriormente, em junho de 2024, com o ShadowPad (também conhecido como PoisonPlug), um backdoor conhecido e amplamente compartilhado entre grupos de espionagem ligados à China.

O ShadowPad é considerado um sucessor de outro backdoor chamado PlugX. Dito isso, com o ShadowPad também sendo usado como um canal para entregar ransomware nos últimos meses, a motivação exata por trás do ataque permanece incerta. Os artefatos do ShadowPad foram encontrados ofuscados usando um compilador personalizado chamado ScatterBrain. A natureza exata da sobreposição entre a atividade de junho de 2024 e os ataques posteriores da PurpleHaze ainda é desconhecida.

No entanto, acredita-se que o mesmo invasor possa estar por trás deles. Estima-se que o ShadowPad ofuscado pelo ScatterBrain tenha sido empregado em intrusões que visavam mais de 70 organizações nos setores de manufatura, governo, finanças, telecomunicações e pesquisa, provavelmente explorando uma vulnerabilidade N-day em dispositivos de gateway Check Point.

Uma das vítimas desses ataques incluiu a organização que então era responsável por gerenciar a logística de hardware para funcionários da SentinelOne. No entanto, a empresa de segurança cibernética observou que não encontrou evidências de uma segunda invasão. Além da China, a SentinelOne também observou tentativas de trabalhadores de TI alinhados à Coreia do Norte de conseguir empregos na empresa, incluindo sua equipe de engenharia de inteligência SentinelLabs, por meio de aproximadamente 360 personas falsas e mais de 1.000 candidaturas de emprego.

Por fim, operadores de ransomware também atacaram a SentinelOne e outras plataformas de segurança focadas em empresas, tentando obter acesso às suas ferramentas para avaliar a capacidade de seu software de evitar a detecção. Isso é alimentado por uma economia subterrânea ativa que gira em torno da compra, venda e aluguel de acesso a essas ofertas de segurança empresarial em aplicativos de mensagens e fóruns como XSS[.]is, Exploit[.]in e RAMP. "Serviços completos surgiram em torno desse ecossistema, incluindo 'EDR Testing-as-a-Service', onde invasores podem avaliar discretamente malware contra várias plataformas de proteção de endpoint", explicaram os pesquisadores.

"Embora esses serviços de teste possam não conceder acesso direto a consoles ou agentes EDR completos, eles fornecem aos invasores ambientes semiprivados para ajustar cargas maliciosas sem a ameaça de exposição - melhorando drasticamente as chances de sucesso em ataques no mundo real." Um grupo de ransomware que leva essa ameaça a um nível totalmente novo é o Nitrogen, que se acredita ser administrado por um cidadão russo.

Ao contrário das abordagens típicas que envolvem abordar insiders ou usar credenciais legítimas coletadas de logs de ladrões de informações, o Nitrogen adota uma estratégia diferente, personificando empresas reais. Isso é alcançado pela criação de domínios semelhantes, endereços de e-mail falsificados e infraestrutura clonada que imitam empresas legítimas, permitindo que o invasor compre licenças oficiais para EDR e outros produtos de segurança.

"Esse tipo de engenharia social é executado com precisão", disseram os pesquisadores. "O Nitrogen normalmente visa revendedores pequenos e pouco verificados - mantendo as interações mínimas e confiando nas práticas inconsistentes de KYC (Know Your Customer) dos revendedores para passar despercebido."

Via - THN