Os atores de ameaças apoiados pela China, incluindo grupos notórios APT15 (também conhecidos como pulga, níquel, vixen panda, ke3chang, royal apt e dragão brincalhão) e UNC5174, lançaram uma série de ataques direcionados a mais de 70 organizações de alto valor em vários setores entre o ano passado e março de março. Entre os alvos desta extensa campanha, que os pesquisadores acreditam ter como objetivo principalmente a ciber-spionagem usando malware do ShadowPad, estava o provedor de segurança de IA SentineLone.
O braço de pesquisa de ameaças da SentineLone, Sentinelabs, tem rastreado ativamente essa atividade maliciosa. Eles o categorizam sob o nome PurpleHaze e o identificam como parte de uma operação mais ampla do shadowpad. Sua investigação, detalhada em uma postagem recente do blog, revelou dois casos específicos em que a SentineLone foi impactada. O primeiro, ocorrendo em outubro, envolveu a atividade PurpleHaze, caracterizada por atores de ameaças que conduzem “extenso reconhecimento remoto” em servidores SentineLone acessíveis pela Internet. O segundo incidente, que ocorreu no início deste ano, foi conectado ao Malware Shadowpad e focado em uma organização de terceiros responsável pelo gerenciamento da logística de hardware para funcionários da SentineLone.
Ao descobrir a intrusão no provedor de logística, a SentineLone agiu rapidamente. “Informamos prontamente a organização de serviços de TI e logística dos detalhes de intrusão”, afirmaram os pesquisadores do Sentinellabs. Eles imediatamente iniciaram uma investigação abrangente sobre a infraestrutura interna, software e ativos de hardware da SentineLone. Esse exame completo encontrou “nenhuma evidência de compromisso” nos sistemas diretos da SentineLone.
Apesar da falta de compromisso interno direto, a SentineLone permanece incerta do objetivo final dos atacantes na segmentação do provedor de logística. Embora o foco imediato possa ter sido a própria organização de terceiros, os atores de ameaças chineses são conhecidos por sua tática de estabelecer pontos de apoio em uma entidade para estender seu alcance às organizações a jusante. Essa possibilidade continua sendo uma preocupação e ressalta a natureza interconectada das ameaças cibernéticas.
O direcionamento de fornecedores de segurança cibernética como a SentineLone destaca o que a empresa vê como um aspecto mal discussivo do cenário atual de ameaças. As empresas de segurança cibernética são metas particularmente atraentes para atores de ameaças devido ao seu papel crucial na proteção dos clientes, sua profunda visibilidade em diversos ambientes de rede e sua capacidade de interromper as operações maliciosas. A SentineLone enfatizou esse ponto, afirmando: “As empresas de segurança cibernética são metas de alto valor para atores de ameaças devido a seus papéis de proteção, profunda visibilidade nos ambientes de clientes e capacidade de interromper as operações adversárias”.
A SentineLone está defendendo uma maior transparência e colaboração na indústria de segurança cibernética em relação a esses tipos de ataques. Seu objetivo em divulgar publicamente esses incidentes é “contribuir para fortalecer as defesas do setor, promovendo a transparência e incentivando a colaboração”. Eles acreditam que compartilhar informações sobre essas campanhas ajuda a “destigmatizar o compartilhamento de [indicators of compromise] Relacionados a essas campanhas e, portanto, contribuem para uma compreensão mais profunda das táticas, objetivos e padrões operacionais dos atores de ameaças da China-Nexus. ”
Os dois grupos primários vinculados a esses ataques, APT15 e UNC5174, têm uma longa história de atividade maliciosa. O APT15, ativo por mais de duas décadas com períodos de dormência e ressurgimento, foi observado recentemente visando populações étnicas chinesas e ministérios estrangeiros na América do Norte e do Sul. Acredita -se que a UNC5174, anteriormente documentada por Mandiant, opere como contratante do governo chinês, com foco nos países ocidentais, incluindo os Estados Unidos, o Reino Unido e o Canadá.
Além de se defender, a SentineLone também acompanhou um número significativo de outras invasões por APT15 ou UNC5174 durante o período de oito meses entre julho e março. Essas intrusões afetaram uma gama diversificada de metas, incluindo uma entidade governamental do sul da Ásia e uma organização européia de mídia, além das mais de 70 organizações em vários setores mencionados anteriormente. Esses setores incluíam fabricação, governo, finanças, telecomunicações e pesquisa.
As descobertas desta série de ataques de atores apoiados pela China destacam a natureza implacável do cenário de ameaças. A SentineLone enfatiza a necessidade crítica de todas as organizações, especialmente os fornecedores de segurança cibernética, para manter um alto nível de vigilância, implementar recursos robustos de monitoramento e ter planos de resposta eficazes e rápidos para se defender contra ataques tão sofisticados.
“Ao compartilhar publicamente detalhes de nossas investigações”, escreveram os pesquisadores do Sentinellabs, “pretendemos fornecer informações sobre o direcionamento raramente discutido dos fornecedores de segurança cibernética, ajudando a destigmatizar o compartilhamento de compartilhamento de [indicators of compromise] Relacionados a essas campanhas e, portanto, contribuem para uma compreensão mais profunda das táticas, objetivos e padrões operacionais dos atores de ameaças da China-Nexus. ” Essa abordagem colaborativa, eles argumentam, é essencial para construir defesas coletivas mais fortes contra atores de ameaças persistentes e avançadas que operam em nome dos estados-nação.
Source: Os atores ligados à China têm como alvo mais de 70 organizações
