Связанные с Китаем хакеры атаковали более 70 международных организаций, SentinelLABS

SentinelLABS раскрывает широкомасштабный кибершпионаж, связанный с Китаем, направленный против более 70 международных организаций и компаний по кибербезопасности в период с июля 2024 года по март 2025 года. Узнайте об операциях «PurpleHaze (также известных как Vixen Panda)» и «ShadowPad», а также о постоянных угрозах.

Новый отчет компании по кибербезопасности SentinelLABS выявил широкомасштабную кампанию кибератак, которая, как полагают, исходит из Китая . Эти действия, которые происходили с июля 2024 года по март 2025 года, были направлены на многочисленные организации по всему миру, включая правительственные учреждения, медиакомпании и, в частности, SentinelOne.

Хотя масштаб атак был значительным, SentinelLABS подтвердила, что ее собственная инфраструктура осталась не скомпрометированной. Как сообщается, в октябре 2024 года SentinelLABS обнаружила раннюю зондирующую деятельность, нацеленную на доступные в Интернете системы SentinelOne. Это было частью более крупного кластера подозрительных действий, который они назвали PurpleHaze (он же Vixen Panda) «.

Позже, в начале 2025 года, SentinelLABS помогла остановить отдельное вторжение. Этот инцидент был связан с более масштабной операцией под названием « ShadowPad » и затронул компанию, отвечающую за управление компьютерным оборудованием для персонала SentinelOne. В обоих сценариях обширные проверки SentinelLABS подтвердили, что собственная сеть, программное обеспечение и устройства SentinelOne не были скомпрометированы.

Объединенные усилия PurpleHaze и ShadowPad на этом не остановились. Они затронули более 70 различных организаций по всему миру, включая правительственную организацию в Южной Азии и крупную европейскую медиаорганизацию. Помимо них, пострадал также широкий спектр предприятий в сфере производства, финансов, телекоммуникаций и исследований.

SentinelLABS уверенно связала эти скоординированные атаки с тем, что они называют «китайскими субъектами угроз». Это группы, подозреваемые в тесных связях с программами шпионажа китайского правительства. Расследование обнаружило связи между некоторыми вторжениями PurpleHaze и известными китайскими группами кибершпионажа, в частности APT15 и UNC5174.

Хакеры использовали множество передовых инструментов и методов. Ключевым элементом вредоносного ПО был ShadowPad, описанный как «модульная бэкдор-платформа с закрытым исходным кодом», часто используемая этими связанными с Китаем группами для шпионажа и получения удаленного доступа. Также был развернут другой инструмент, часть семейства GOREshell, который включает в себя варианты бэкдора reverse_ssh .

Эти группы часто использовали сети оперативных релейных ящиков (ORB) — метод, позволяющий им создавать постоянно меняющуюся сеть контрольных точек, что затрудняет отслеживание и идентификацию их деятельности.

Они также использовали определенные уязвимости программного обеспечения, такие как CVE-2024-8963 и CVE-2024-8190 , иногда даже эксплуатируя их до того, как эти уязвимости были публично раскрыты. Кроме того, некоторые атаки включали общедоступные инструменты от The Hacker's Choice (THC), сообщества исследователей кибербезопасности.

Крейг Джонс , вице-президент по операциям безопасности компании Ontinue, поставщика услуг управляемого обнаружения и реагирования (MDR) из Редвуд-Сити, Калифорния, прокомментировал последние события, заявив: « То, что SentinelOne видит сейчас, — это классическая деятельность, связанная с Китаем, она в точности повторяет то, что отслеживалось во время атак в Тихоокеанском регионе, когда я руководил оборонной деятельностью в Sophos » .

«Тогда мы видели тот же сценарий: узконаправленные операции, скрытые импланты на периферийных устройствах и неустанная ориентация на долгосрочный доступ к ценной инфраструктуре. Это не ново, это продолжение хорошо отточенной стратегии » , — добавил Крейг.

Эти подробные результаты подчеркивают сложный и постоянный характер этих спонсируемых государством операций и подчеркивают острую необходимость постоянного мониторинга во всех секторах.

(Изображение Моники Вольпин с Pixabay)