Kegiatan pengintaian yang menargetkan perusahaan cybersecurity Amerika Sentinelone adalah bagian dari serangkaian intrusi terkait sebagian yang lebih luas ke dalam beberapa target antara Juli 2024 dan Maret 2025.
“Korban termasuk entitas pemerintah Asia Selatan, organisasi media Eropa, dan lebih dari 70 organisasi di berbagai sektor,” kata peneliti keamanan Sentinelone Aleksandar Milenkoski dan Tom Hegel dalam sebuah laporan yang diterbitkan hari ini.
Beberapa sektor yang ditargetkan termasuk manufaktur, pemerintah, keuangan, telekomunikasi, dan penelitian. Juga hadir di antara para korban adalah perusahaan layanan TI dan logistik yang mengelola logistik perangkat keras untuk karyawan Sentinelone pada saat pelanggaran pada awal 2025.
Kegiatan jahat telah dikaitkan dengan kepercayaan tinggi kepada aktor ancaman China-Nexus, dengan beberapa serangan terikat dengan kluster ancaman yang dijuluki Purplehazeyang, pada gilirannya, tumpang tindih dengan kelompok spionase cyber Cina secara terbuka dilaporkan sebagai APT15 dan UNC5174.
Pada akhir April 2024, Sentinelone pertama kali mengungkapkan aktivitas pengintaian terkait Purplehaze yang menargetkan beberapa server yang sengaja dapat diakses melalui internet dengan “kebajikan fungsionalitas mereka.”
“Kegiatan aktor ancaman terbatas pada pemetaan dan mengevaluasi ketersediaan server yang menghadap internet tertentu, kemungkinan dalam persiapan untuk tindakan potensial di masa depan,” kata para peneliti.
Saat ini tidak diketahui apakah niat penyerang adalah hanya menargetkan organisasi logistik TI atau jika mereka berencana untuk memperluas fokus mereka ke organisasi hilir juga. Investigasi lebih lanjut terhadap serangan telah menemukan enam kelompok kegiatan yang berbeda (dinamai ke A ke f) yang berasal dari Juni 2024 dengan kompromi entitas pemerintah Asia Selatan yang tidak disebutkan namanya.
Cluster tercantum di bawah ini –
- Kegiatan A: Intrusi ke entitas pemerintah Asia Selatan (Juni 2024)
- Kegiatan B: Satu set intrusi yang menargetkan organisasi secara global (antara Juli 2024 dan Maret 2025)
- Kegiatan C: Intrusi ke dalam Layanan TI dan Logistik Perusahaan (pada awal tahun 2025)
- Kegiatan D: Intrusi ke entitas pemerintah Asia Selatan yang sama dikompromikan (Oktober 2024)
- Kegiatan E: Aktivitas Pengintaian Menargetkan Server Sentinelone (Oktober 2024)
- Kegiatan f: Intrusi ke organisasi media Eropa terkemuka (akhir September 2024)
Serangan Juni 2024 terhadap entitas pemerintah, seperti yang sebelumnya dirinci oleh Sentinelone, dikatakan telah menyebabkan penyebaran Shadowpad yang dikaburkan menggunakan Scatterbrain. Artefak Shadowpad dan infrastruktur tumpang tindih dengan kampanye Shadowpad baru -baru ini yang telah memberikan ransomware keluarga dengan nama baik Nailaolocker setelah eksploitasi perangkat Gateway Point.
Selanjutnya pada Oktober 2024, organisasi yang sama ditargetkan untuk menjatuhkan cangkang terbalik berbasis GO yang dijuluki Goreshell yang menggunakan SSH untuk terhubung ke host yang terinfeksi. Pintu backdoor yang sama, Sentinelone mencatat, telah digunakan sehubungan dengan serangan September 2024 yang ditujukan untuk organisasi media Eropa terkemuka.
Juga umum untuk dua kelompok aktivitas ini adalah penggunaan alat yang dikembangkan oleh tim ahli keamanan TI yang menggunakan nama Hacker's Choice (THC). Pengembangan menandai pertama kalinya program perangkat lunak THC disalahgunakan oleh aktor yang disponsori negara.
Sentinelone telah mengaitkan aktivitas F dengan aktor China-Nexus dengan afiliasi longgar dengan “broker akses awal” yang dilacak oleh Google Mandiant dengan nama UNC5174 (alias Uteus atau Uetus). Perlu dicatat bahwa kelompok ancaman baru -baru ini dikaitkan dengan eksploitasi aktif kekurangan SAP Netweaver untuk memberikan Goreverse, varian Goreshell. Perusahaan Cybersecurity secara kolektif melacak aktivitas D, E, dan F sebagai Purplehaze.
“Aktor ancaman memanfaatkan bola [operational relay box] Infrastruktur jaringan, yang kami nilai dioperasikan dari Cina, dan mengeksploitasi kerentanan CVE-2024-8963 bersama dengan CVE-2024-8190 untuk membangun pijakan awal, beberapa hari sebelum kerentanan diungkapkan secara publik, “kata peneliti.
