Chinesische Hackergruppe PurpleHaze zielt auf SentinelOne und seine Kunden

MÜNCHEN (IT BOLTWISE) – Die Cybersicherheitsfirma SentinelOne hat eine neue Bedrohung durch eine chinesische Hackergruppe namens PurpleHaze aufgedeckt, die sowohl die Infrastruktur des Unternehmens als auch einige seiner hochkarätigen Kunden ins Visier genommen hat.

Die Cybersicherheitsfirma SentinelOne hat kürzlich eine Bedrohung durch eine chinesische Hackergruppe namens PurpleHaze aufgedeckt. Diese Gruppe, die lose Verbindungen zu der staatlich unterstützten Gruppe APT15 hat, hat sowohl die Infrastruktur von SentinelOne als auch einige seiner hochkarätigen Kunden ins Visier genommen. Die Forscher von SentinelOne, darunter Tom Hegel, Aleksandar Milenkoski und Jim Walter, entdeckten die Bedrohung erstmals während eines Angriffs im Jahr 2024 auf eine Organisation, die zuvor Hardware-Logistikdienste für SentinelOne-Mitarbeiter bereitstellte.

PurpleHaze wird als eine Hackergruppe eingeschätzt, die lose Verbindungen zu einer anderen staatlich unterstützten Gruppe namens APT15 hat, die auch als Flea, Nylon Typhoon (ehemals Nickel), Playful Taurus, Royal APT und Vixen Panda bekannt ist. Die Gruppe wurde auch dabei beobachtet, wie sie im Oktober 2024 eine nicht näher benannte südasiatische Regierungsorganisation angriff. Dabei nutzte sie ein Netzwerk von Operations-Relay-Boxen (ORB) und eine Windows-Hintertür namens GoReShell.

Das Implantat, das in der Programmiersprache Go geschrieben ist, verwendet ein Open-Source-Tool namens reverse_ssh, um Reverse-SSH-Verbindungen zu Endpunkten unter der Kontrolle des Angreifers einzurichten. Die Nutzung von ORB-Netzwerken ist ein wachsender Trend unter diesen Bedrohungsgruppen, da sie schnell erweitert werden können, um eine dynamische und sich entwickelnde Infrastruktur zu schaffen, die es schwierig macht, Cyber-Spionage-Operationen zu verfolgen und ihnen die Urheberschaft zuzuordnen.

Weitere Analysen haben ergeben, dass dieselbe südasiatische Regierungsorganisation bereits im Juni 2024 mit ShadowPad (auch bekannt als PoisonPlug) angegriffen wurde, einer bekannten Hintertür, die weit verbreitet unter China-nahen Spionagegruppen geteilt wird. ShadowPad gilt als Nachfolger einer anderen Hintertür namens PlugX. Mit ShadowPad wurde in den letzten Monaten auch Ransomware verbreitet, weshalb die genaue Motivation hinter dem Angriff unklar bleibt.

Die ShadowPad-Artefakte wurden mit einem maßgeschneiderten Compiler namens ScatterBrain verschleiert. Die genaue Natur der Überschneidung zwischen den Aktivitäten im Juni 2024 und den späteren PurpleHaze-Angriffen ist noch unbekannt. Es wird jedoch angenommen, dass derselbe Bedrohungsakteur dahinterstecken könnte. Der ScatterBrain-verschleierte ShadowPad wurde bei Angriffen auf über 70 Organisationen in den Bereichen Fertigung, Regierung, Finanzen, Telekommunikation und Forschung eingesetzt, nachdem wahrscheinlich eine N-Day-Schwachstelle in CheckPoint-Gateway-Geräten ausgenutzt wurde.

Unter den Opfern dieser Angriffe befand sich auch die Organisation, die damals für das Management der Hardware-Logistik für SentinelOne-Mitarbeiter verantwortlich war. Die Cybersicherheitsfirma stellte jedoch fest, dass es keine Hinweise auf eine sekundäre Kompromittierung gab. Nicht nur China, sondern auch Nordkorea-nahe IT-Arbeiter versuchten, sich Jobs bei SentinelOne zu sichern, einschließlich des SentinelLabs Intelligence Engineering Teams, indem sie etwa 360 gefälschte Personas und über 1.000 Bewerbungen einreichten.

Zuletzt haben Ransomware-Betreiber SentinelOne und andere unternehmensfokussierte Sicherheitsplattformen ins Visier genommen, um Zugang zu ihren Tools zu erlangen und die Fähigkeit ihrer Software zur Erkennung zu bewerten. Dies wird durch eine aktive Untergrundwirtschaft befeuert, die sich um den Kauf, Verkauf und die Vermietung von Zugang zu solchen Unternehmenssicherheitsangeboten auf Messaging-Apps sowie Foren wie XSS[.]is, Exploit[.]in und RAMP dreht.

Ein Ransomware-Gruppe, die diese Bedrohung auf ein ganz neues Niveau hebt, ist Nitrogen, die von einem russischen Staatsangehörigen betrieben wird. Im Gegensatz zu typischen Ansätzen, die Insider ansprechen oder legitime Anmeldeinformationen aus Infostealer-Protokollen verwenden, verfolgt Nitrogen eine andere Strategie, indem sie echte Unternehmen imitiert. Dies wird erreicht, indem sie ähnlich aussehende Domains, gefälschte E-Mail-Adressen und geklonte Infrastrukturen einrichten, die legitime Unternehmen nachahmen, sodass der Bedrohungsakteur offizielle Lizenzen für EDR und andere Sicherheitsprodukte erwerben kann.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!