Китайские хакерские операции и атаки на поставщиков кибербезопасности: анализ SentinelLabs
Во второй половине 2024 года и в начале 2025 года специалисты компании SentinelLabs зафиксировали серию скоординированных кибератак, связанных с китайскими группами хакеров, известными как PurpleHaze и ShadowPad. Эти кампании включали разведывательные операции и попытки вторжений в крупные организации, среди которых оказались компании SentinelOne и сервис-провайдер для материально-технического обеспечения сотрудников SentinelOne.
Основные цели и характер атак
Особое внимание вызывает тот факт, что попытки проникновения в системы SentinelOne оказались безуспешными – меры защиты компании выдержали эти атаки. Вместе с тем, вредоносное ПО ShadowPad, известное как модульный бэкдор и ассоциируемое с китайским кибершпионажем, было замечено при атаках на правительственное учреждение Южной Азии в июне 2024 года.
ShadowPad активно использовал технику обфускации ScatterBrain, что позволило нападениям оставаться незамеченными в течение длительного времени. В ходе расследования обнаружена масштабная кампания, затронувшая более 70 организаций в различных секторах по всему миру в период с июля 2024 года по март 2025 года.
Методы и техники злоумышленников
- Векторы доступа: основным путем вторжений стали уязвимости в сетевых устройствах, включая шлюзы Check Point.
- Вредоносный софт: приложение AppSov.exe, которое запускалось через PowerShell, доставляя и активируя полезную нагрузку с последующей перезагрузкой системы.
- Удаление следов: после компрометации AppSov.exe удалял конфиденциальные данные, работал с использованием DNS через HTTPS для скрытия C2-коммуникаций.
- Использование бэкдоров: например, GOREshell, развёрнутый с помощью DLL Injection в легитимных процессах, позволял злоумышленникам выполнять удалённые команды.
- Обфускация и сокрытие активности: манипуляции с метками времени вредоносных файлов, внедрение средств удаления журналов и других следов деятельности.
Угрозы для индустрии кибербезопасности
Отдельно следует выделить рост числа атак на компании, предоставляющие услуги в области кибербезопасности, особенно те, которые управляют критически важной инфраструктурой. Акцент хакеров направлен на использование zero-day уязвимостей, например, CVE-2024-8963 и CVE-2024-8190, которые применялись до момента их публичного раскрытия.
По словам экспертов SentinelLabs, «данный уровень активности указывает на растущую угрозу со стороны национальных групп, что требует усиленного сотрудничества и прозрачности внутри индустрии».
Рекомендации и дальнейшие шаги
Аналитики SentinelLabs призывают к повышению осведомлённости организаций о потенциальных уязвимостях и методах защиты. В частности, внимание следует уделять:
- Обновлению и патчингу сетевого оборудования;
- Мониторингу PowerShell и других скриптовых команд;
- Внедрению усовершенствованных средств обнаружения и реагирования;
- Обмену оперативной разведывательной информацией между компаниями;
- Повышению прозрачности и координации в отрасли для борьбы с национальными угрозами.
В условиях эскалации киберактивности со стороны национальных государств сохраняется острая необходимость в постоянной бдительности и проактивном обмене разведданными, что позволит минимизировать риски и своевременно нейтрализовать потенциальные атаки.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Китайские кибератаки 2024–2025: анализ методов и уязвимостей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.