Perusahaan Cybersecurity Sentinelone telah mengungkapkan bahwa kluster ancaman China-Nexus yang dijuluki Purplehaze melakukan upaya pengintaian terhadap infrastrukturnya dan beberapa pelanggan bernilai tinggi.
“Kami pertama kali menyadari kluster ancaman ini selama intrusi 2024 yang dilakukan terhadap sebuah organisasi yang sebelumnya menyediakan layanan logistik perangkat keras untuk karyawan Sentinelone,” kata peneliti keamanan Tom Hegel, Aleksandar Milenkoski, dan Jim Walter mengatakan dalam sebuah analisis yang diterbitkan Senin.
Purplehaze dinilai sebagai kru peretasan dengan ikatan longgar dengan kelompok lain yang disponsori negara yang dikenal sebagai APT15, yang juga dilacak sebagai kutu, nilon topan (sebelumnya nikel), playful taurus, royal apt, dan vixen panda.
Kolektif permusuhan juga telah diamati menargetkan entitas pendukung pemerintah Asia Selatan yang tidak disebutkan namanya pada Oktober 2024, menggunakan jaringan Operational Relay Box (ORB) dan Windows Backdoor dijuluki Goreshell.
Implan, yang ditulis dalam bahasa pemrograman GO, menggunakan kembali alat open-source yang disebut Reverse_ssh untuk mengatur koneksi SSH terbalik ke titik akhir di bawah kendali penyerang.
“Penggunaan jaringan ORB adalah tren yang berkembang di antara kelompok -kelompok ancaman ini, karena mereka dapat diperluas dengan cepat untuk menciptakan infrastruktur yang dinamis dan berkembang yang membuat pelacakan operasi cyberpionage dan tantangan atribusi mereka,” kata para peneliti.
Analisis lebih lanjut telah menentukan bahwa entitas pemerintah Asia Selatan yang sama juga ditargetkan sebelumnya pada Juni 2024 dengan Shadowpad (alias Poisonplug), sebuah backdoor yang dikenal secara luas dibagikan di antara kelompok spionase China-Nexus. Shadowpad dianggap sebagai penerus pintu belakang lain yang disebut PlugX.
Yang mengatakan, dengan Shadowpad juga digunakan sebagai saluran untuk memberikan ransomware dalam beberapa bulan terakhir, motivasi yang tepat di balik serangan itu masih belum jelas. Artefak Shadowpad telah ditemukan dikaburkan menggunakan kompiler dipesan lebih dahulu yang disebut Scatterbrain.
Sifat pasti dari tumpang tindih antara aktivitas Juni 2024 dan serangan Purplehaze yang kemudian belum diketahui. Namun, diyakini bahwa aktor ancaman yang sama bisa berada di belakang mereka.
Shadowpad yang terobsesi dengan scatterbrain diperkirakan telah digunakan dalam intrusi yang menargetkan lebih dari 70 organisasi yang mencakup manufaktur, pemerintah, keuangan, telekomunikasi, dan sektor penelitian setelah kemungkinan mengeksploitasi kerentanan n-hari di perangkat gateway pos pemeriksaan.
Salah satu di antara korban serangan ini termasuk organisasi yang kemudian bertanggung jawab untuk mengelola logistik perangkat keras untuk karyawan Sentinelone. Namun, perusahaan cybersecurity mencatat bahwa mereka tidak menemukan bukti kompromi sekunder.
Bukan hanya China, karena Sentinelone mengatakan mereka juga mengamati upaya yang dilakukan oleh pekerja TI yang selaras dengan Korea Utara untuk mengamankan pekerjaan di perusahaan, termasuk tim teknik intelijen Sentinellabs, melalui sekitar 360 persona palsu dan lebih dari 1.000 aplikasi pekerjaan.
Last but not least, operator ransomware telah menargetkan Sentinelone dan platform keamanan yang berfokus pada perusahaan lainnya, berusaha mendapatkan akses ke alat mereka untuk mengevaluasi kemampuan perangkat lunak mereka untuk menghindari deteksi.
Ini didorong oleh ekonomi bawah tanah aktif yang berkisar pada pembelian, penjualan, dan menyewa akses ke penawaran keamanan perusahaan tersebut pada aplikasi pesan serta forum seperti XSS[.]adalah, eksploitasi[.]di dan ramp.
“Seluruh penawaran layanan telah muncul di sekitar ekosistem ini, termasuk 'EDR Testing-as-a-Service,' di mana aktor dapat secara diam-diam mengevaluasi malware terhadap berbagai platform perlindungan titik akhir,” jelas para peneliti.
“Meskipun layanan pengujian ini mungkin tidak memberikan akses langsung ke konsol atau agen EDR berfitur lengkap, mereka memang memberikan penyerang dengan lingkungan semi-pribadi untuk menyempurnakan muatan jahat tanpa ancaman paparan-secara dramatis meningkatkan kemungkinan keberhasilan dalam serangan dunia nyata.”
Salah satu kelompok ransomware yang membawa ancaman ini ke tingkat yang sama sekali baru adalah nitrogen, yang diyakini dijalankan oleh warga negara Rusia. Tidak seperti pendekatan khas yang melibatkan mendekati orang dalam atau menggunakan kredensial sah yang dipanen dari log infostealer, nitrogen mengadopsi strategi yang berbeda dengan menyamar sebagai perusahaan nyata.
Ini dicapai dengan menyiapkan domain yang mirip, alamat email spoofed, dan infrastruktur kloning yang meniru perusahaan yang sah, yang memungkinkan aktor ancaman untuk membeli lisensi resmi untuk EDR dan produk keamanan lainnya.
“Teknik sosial semacam ini dieksekusi dengan presisi,” kata para peneliti. “Nitrogen biasanya menargetkan reseller kecil yang diperiksa dengan ringan – menjaga interaksi minimal dan mengandalkan praktik KYC (tahu pelanggan Anda) yang tidak konsisten untuk menyelinap melalui celah.”
