Ciberseguridad 360 | SentinelOne descubre una campaña de espionaje china dirigida a su infraestructura y clientes

La empresa de ciberseguridad SentinelOne ha revelado que un grupo de amenazas con nexo con China, denominado PurpleHaze, realiz� intentos de reconocimiento contra su infraestructura y algunos de sus clientes de alto valor.

"Nos dimos cuenta por primera vez de este grupo de amenazas durante una intrusi�n en 2024 realizada contra una organizaci�n que anteriormente brindaba servicios de log�stica de hardware a los empleados de SentinelOne", dijeron los investigadores de seguridad Tom Hegel, Aleksandar Milenkoski y Jim Walter en un an�lisis publicado el lunes.

Se eval�a que PurpleHaze es un equipo de piratas inform�ticos con v�nculos d�biles con otro grupo patrocinado por el estado conocido como APT15 , que tambi�n se rastrea como Flea, Nylon Typhoon (anteriormente Nickel), Playful Taurus, Royal APT y Vixen Panda.

Tambi�n se ha observado que el colectivo adversario atac� a una entidad an�nima que apoyaba al gobierno del sur de Asia en octubre de 2024, empleando una red de caja de retransmisi�n operativa (ORB) y una puerta trasera de Windows denominada GoReShell.

El implante, escrito en el lenguaje de programaci�n Go, reutiliza una herramienta de c�digo abierto llamada reverse_ssh para configurar conexiones SSH inversas a puntos finales bajo el control del atacante.

"El uso de redes ORB es una tendencia creciente entre estos grupos de amenazas, ya que pueden expandirse r�pidamente para crear una infraestructura din�mica y evolutiva que dificulta el seguimiento de las operaciones de ciberespionaje y su atribuci�n", se�alaron los investigadores.

An�lisis posteriores han determinado que la misma entidad gubernamental del sur de Asia tambi�n fue atacada en junio de 2024 por ShadowPad (tambi�n conocido como PoisonPlug), una puerta trasera conocida y ampliamente compartida entre grupos de espionaje con v�nculos con China. ShadowPad se considera sucesor de otra puerta trasera conocida como PlugX.

Dicho esto, dado que ShadowPad tambi�n se ha utilizado como canal para distribuir ransomware en los �ltimos meses, la motivaci�n exacta del ataque sigue sin estar clara. Se ha descubierto que los artefactos de ShadowPad est�n ofuscados mediante un compilador a medida llamado ScatterBrain .

A�n se desconoce la naturaleza exacta de la coincidencia entre la actividad de junio de 2024 y los ataques posteriores de PurpleHaze. Sin embargo, se cree que el mismo actor de amenazas podr�a estar detr�s de ellos.

Se estima que ShadowPad, ofuscado por ScatterBrain, se emple� en intrusiones dirigidas a m�s de 70 organizaciones que abarcaban los sectores de fabricaci�n, gobierno, finanzas, telecomunicaciones e investigaci�n, probablemente despu�s de explotar una vulnerabilidad de N d�as en los dispositivos de enlace de Check Point.

Campa�a de espionaje china

Una de las v�ctimas de estos ataques fue la organizaci�n que entonces gestionaba la log�stica de hardware de los empleados de SentinelOne. Sin embargo, la firma de ciberseguridad se�al� que no encontr� evidencia de una vulneraci�n secundaria.

No se trata solo de China, ya que SentinelOne afirm� que tambi�n observ� intentos realizados por trabajadores de TI alineados con Corea del Norte para conseguir empleos en la empresa, incluido su equipo de ingenier�a de inteligencia SentinelLabs, a trav�s de aproximadamente 360 ??personajes falsos y m�s de 1.000 solicitudes de empleo.

Por �ltimo, pero no por ello menos importante, los operadores de ransomware han atacado SentinelOne y otras plataformas de seguridad empresariales, intentando obtener acceso a sus herramientas para evaluar la capacidad de su software para evadir la detecci�n.

Esto es impulsado por una econom�a subterr�nea activa que gira en torno a la compra, venta y alquiler del acceso a dichas ofertas de seguridad empresarial en aplicaciones de mensajer�a, as� como en foros como XSS[.]is, Exploit[.]in y RAMP.

"Han surgido ofertas de servicios completas en torno a este ecosistema, incluido 'EDR Testing-as-a-Service', donde los actores pueden evaluar discretamente el malware frente a diversas plataformas de protecci�n de endpoints", explicaron los investigadores.

Si bien estos servicios de prueba pueden no otorgar acceso directo a consolas o agentes EDR con todas las funciones, s� brindan a los atacantes entornos semiprivados para optimizar las cargas maliciosas sin riesgo de exposici�n, lo que mejora dr�sticamente las probabilidades de �xito en ataques reales.

Un grupo de ransomware que lleva esta amenaza a un nivel completamente nuevo es Nitrogen, que se cree est� dirigido por un ciudadano ruso. A diferencia de los m�todos habituales que implican contactar a personas con informaci�n privilegiada o usar credenciales leg�timas obtenidas de registros de robo de informaci�n, Nitrogen adopta una estrategia diferente suplantando la identidad de empresas reales.

Esto se logra configurando dominios similares, direcciones de correo electr�nico falsificadas e infraestructura clonada que imitan a empresas leg�timas, lo que permite al actor de amenazas comprar licencias oficiales para EDR y otros productos de seguridad.

"Este tipo de ingenier�a social se ejecuta con precisi�n", afirmaron los investigadores. "Nitrogen suele dirigirse a revendedores peque�os y poco verificados, minimizando las interacciones y apoy�ndose en las pr�cticas inconsistentes de KYC (Conozca a su Cliente) de los revendedores para pasar desapercibidos".

Fuente: Thehackernews.