Las actividades de reconocimiento dirigidas a las leyes centinelas de la compañía de seguridad cibernética estadounidense fueron parte de un amplio conjunto de intrusiones parcialmente relacionadas con varios objetivos entre julio de 2024 y marzo de 2025.
«Las víctimas incluyen más de 70 organizaciones en agencias gubernamentales del sur de Asia, organizaciones de medios europeas y una amplia gama de sectores», dijeron los investigadores de seguridad de Sentinelon Aleksandar Milenkoski y Tom Hegel en un informe publicado hoy.
Algunos de los sectores cubiertos incluyen fabricación, gobierno, finanzas, comunicaciones e investigación. También entre las víctimas estaban los servicios de TI y las empresas de logística que administraron la logística de hardware para los empleados de Sentinelon en el momento de la violación a principios de 2025.
La actividad maliciosa se atribuye a la alta confianza en los actores de amenaza chinos y de Nexus, con algunos de los ataques vinculados a un grupo de amenazas llamado Purple Goby, que según los informes se publica como el Grupo Cyberspy chino APT15 y UNC5174.
A fines de abril de 2024, Sentinelone reveló por primera vez una actividad de reconocimiento de Purple Goby relacionado con los goby que se dirige a algunos servidores a los que se puede acceder intencionalmente en Internet a través de la «virtud de la funcionalidad».
«Las actividades de los actores de amenaza se limitaron al mapeo y la evaluación de la disponibilidad de servidores seleccionados orientados a Internet en preparación para posibles acciones futuras», dijeron los investigadores.
Actualmente no está claro si la intención del atacante es apuntar a las organizaciones de logística de TI o si planean ampliar su enfoque a las organizaciones posteriores. Una mayor investigación sobre el ataque reveló seis grupos de actividad diferentes (designados de A a F) que datan de junio de 2024.
Los grupos se enumeran a continuación –
Actividad A: Intrusiones en organizaciones gubernamentales del sur de Asia (junio de 2024) Actividad B: conjunto de intrusiones dirigidas a organizaciones de todo el mundo (julio de 2024 a marzo de 2025) Actividad C: Intrusiones en servicios de TI y Compañía de Logística (principios de 2025) Actividad de actividad: Intrusiones en actividades del gobierno del sur de Asia (Octubre 2024) Actividad: F: Organizaciones de medios europeos principales (a principios de septiembre de 2024)
Se dice que el ataque de junio de 2024 contra las empresas gubernamentales llevó al despliegue de Shadowpad ofuscado usando Scatterbrain, como lo detalló anteriormente Sentinelon. Los artefactos de ShadowPad y la infraestructura se superponen con la reciente campaña de Shadowpad que proporcionó a Nailaolocker, conocida como la familia de ransomware, después del uso de dispositivos de puerta de enlace de punto de control.
Luego, en octubre de 2024, el mismo tejido tenía la intención de soltar una carcasa inversa basada en GO llamada Goreshell que usa SSH para conectarse a hosts infectados. Sentinelone dice que la misma puerta trasera se está utilizando en relación con el ataque de septiembre de 2024 dirigido a las principales organizaciones de medios europeas.
Además, lo que estos dos grupos de actividad tienen en común es el uso de herramientas desarrolladas por un equipo de expertos en seguridad de TI que se encuentran bajo el nombre de Hacker Choice (THC). El desarrollo marca el programa de software de THC cuando es abusado por primera vez por actores patrocinados por el estado.
Sentinelone atribuye la actividad F a los actores chinos y de Nexus y tiene una afiliación suelta con el «corredor de acceso temprano» que Google Mandiant rastreó bajo el nombre C5174 (también conocido como Uteus o Uetus). Es de destacar que los grupos de amenazas se han vinculado recientemente con la explotación agresiva de los defectos de SAP Netweaver para proporcionar a Goreverse, una variante de Goreshell. Las empresas de ciberseguridad rastrean colectivamente las actividades D, E y F como Purple Gobys.
«Los actores de amenaza aprovecharon la infraestructura de la red ORB (caja de relevos operativa), que calificaron como operados desde China, y utilizaron la vulnerabilidad de CVE-2024-8963 junto con CVE-2024-8190 para establecer una base temprana de pocos días antes de que se revelara la vulnerabilidad», dijeron los investigadores. «Después de comprometerse en estos sistemas, se sospecha que UNC5174 transfiren otro acceso de amenazas».
Source link
