La compañía de ciberseguridad Sentinelone ha revelado que un clúster de amenaza de China-Nexus denominado Morado realizó intentos de reconocimiento contra su infraestructura y algunos de sus clientes de alto valor.
«Primero nos dimos cuenta de este clúster de amenazas durante una intrusión de 2024 realizada contra una organización que previamente brinda servicios de logística de hardware para empleados de Sentinelone», dijeron los investigadores de seguridad Tom Hegel, Aleksandar Milenkoski y Jim Walter en un análisis publicado el lunes.
Se evalúa que Purplehaze es un equipo de piratería con lazos sueltos con otro grupo patrocinado por el estado conocido como APT15, que también se rastrea como Flea, Nylon Typhoon (anteriormente Níquel), Tauro juguetón, Royal Apt y Vixen Panda.
El colectivo adversario también se ha observado dirigido a una entidad que respalda el gobierno del sur de Asia en octubre de 2024, empleando una red de caja de relevos operativos (ORB) y una puerta trasera de Windows denominada Goreshell.
El implante, escrito en el lenguaje de programación GO, reutiliza una herramienta de código abierto llamada Reverse_SSH para configurar las conexiones SSH inversas a puntos finales bajo el control del atacante.
«El uso de redes ORB es una tendencia creciente entre estos grupos de amenazas, ya que se pueden ampliar rápidamente para crear una infraestructura dinámica y en evolución que hace que el seguimiento de las operaciones cibernéticas y su atribución desafíen», señalaron los investigadores.
Un análisis posterior ha determinado que la misma entidad gubernamental del sur de Asia también fue atacada anteriormente en junio de 2024 con Shadowpad (también conocido como Poisonplug), un patio trasero conocido ampliamente compartido entre los grupos de espionaje de China-Nexus. ShadowPad se considera un sucesor de otra puerta trasera denominada complemento.
Dicho esto, con Shadowpad también utilizando como un conducto para entregar ransomware en los últimos meses, la motivación exacta detrás del ataque sigue sin estar clara. Se ha encontrado que los artefactos de Shadowpad se ofuscan utilizando un compilador a medida llamado ScatterBrain.
Todavía se desconoce la naturaleza exacta de la superposición entre la actividad de junio de 2024 y los ataques posteriores de Purplehaze. Sin embargo, se cree que el mismo actor de amenaza podría estar detrás de ellos.
Se estima que el shadowpad obfusco de dispersión se ha empleado en intrusiones dirigidas a más de 70 organizaciones que abarcan sectores de fabricación, gobierno, finanzas, telecomunicaciones y de investigación después de que probablemente exploten una vulnerabilidad de N-Day en los dispositivos de puerta de enlace de punto de control.
Una de las víctimas de estos ataques incluyó la organización que fue responsable de administrar la logística de hardware para los empleados de Sentinelone. Sin embargo, la firma de ciberseguridad señaló que no encontró evidencia de un compromiso secundario.
No es solo China, porque Sentinelone dijo que también observó intentos realizados por los trabajadores de TI alineados en Corea del Norte para asegurar empleos en la compañía, incluido su equipo de ingeniería de inteligencia Sentinellabs, a través de aproximadamente 360 personajes falsos y más de 1,000 solicitudes de empleo.
Por último, pero no menos importante, los operadores de ransomware se han dirigido a Sentinelone y otras plataformas de seguridad centradas en la empresa, intentando obtener acceso a sus herramientas para evaluar la capacidad de su software para evadir la detección.
Esto se ve impulsado por una economía subterránea activa que gira en torno a comprar, vender y alquilar acceso a tales ofertas de seguridad empresarial en aplicaciones de mensajería, así como foros como XSS (.) IS, Exploit (.) En y rampa.
«Han surgido ofertas de servicios completos en torno a este ecosistema, incluidas ‘pruebas EDR como servicio’, donde los actores pueden evaluar discretamente malware con diversas plataformas de protección de puntos finales», explicaron los investigadores.
«Si bien estos servicios de prueba pueden no otorgar acceso directo a consolas o agentes EDR con todas las funciones, sí proporcionan a los atacantes entornos semiprivados para afinar las cargas maliciosas sin la amenaza de exposición, mejorando drásticamente las probabilidades de éxito en los ataques del mundo real».
Un grupo de ransomware que lleva esta amenaza a un nivel completamente nuevo es el nitrógeno, que se cree que es administrado por un ciudadano ruso. A diferencia de los enfoques típicos que implican que se acercan a los expertos o el uso de credenciales legítimas cosechadas de los registros de infestos de infantes, el nitrógeno adopta una estrategia diferente al hacerse pasar por compañías reales.
Esto se logra configurando dominios parecidos, direcciones de correo electrónico falsificadas e infraestructura clonada que imita a las compañías legítimas, lo que permite al actor de amenaza comprar licencias oficiales para EDR y otros productos de seguridad.
«Este tipo de ingeniería social se ejecuta con precisión», dijeron los investigadores. «El nitrógeno generalmente apunta a los revendedores pequeños y ligeramente examinados, manteniendo las interacciones mínimas y dependiendo de las prácticas de KYC (conoce a su cliente) inconsistentes de los revendedores para que se deslicen a través de las grietas».