Хакеры добрались до тех, кто должен нас защищать — 70 жертв, от Южной Азии до Европы
NewsMakerВ открытую не били — зашли с тыла: поставщики, медиасети, серверы в слепой зоне.
Масштабная разведывательная кампания, зафиксированная в отношении американской компании SentinelOne, оказалась лишь одним эпизодом в серии связанных атак, осуществлённых на десятки целей по всему миру с середины 2024 года до весны 2025-го. По данным исследователей SentinelOne Александра Миленкоски и Тома Хегела, в число жертв вошли не только коммерческие компании, но и государственные структуры.
Целями атак стали более 70 организаций, среди которых — правительственное учреждение в Южной Азии, крупное европейское медиа, а также компании из сфер производства, телекоммуникаций, финансов и научных исследований. В частности, упоминается инцидент с IT-компанией, занимавшейся логистикой оборудования для сотрудников SentinelOne — именно она была скомпрометирована в начале 2025 года.
Виновниками атак специалисты называют киберпреступников с китайской привязкой . Часть операций отнесена к кластеру PurpleHaze, который частично совпадает с активностью известных шпионских группировок APT15 и UNC5174. При этом UNC5174 отслеживается компанией Mandiant под именем Uteus (или Uetus) и уже фигурировала в кампаниях с использованием уязвимостей SAP NetWeaver для доставки вредоноса GOREVERSE — варианта GoReShell.
Согласно докладу, интерес злоумышленников к SentinelOne был замечен ещё в апреле 2024 года. Тогда они проводили зондирование серверов компании, намеренно выставленных в интернет для обеспечения функциональности. Атакующие ограничились изучением доступных поверхностей, что, по мнению аналитиков, говорит о подготовке к потенциальным действиям в будущем.
Исследование выявило шесть отдельных кластеров активности, охватывающих период с июня 2024 по март 2025 года:
В октябре злоумышленники вновь вернулись к южноазиатскому правительственному учреждению, установив бэкдор GoReShell на основе Go. Он использует SSH для соединения с заражённой системой. Идентичный вредонос был применён против европейской медиакомпании в сентябре того же года.
Интересно, что в обеих атаках были использованы инструменты, разработанные командой The Hacker’s Choice (THC) — ранее они считались средствами «белых хакеров» и впервые замечены в операциях, предположительно проводимых по заданию государства.
SentinelOne классифицирует кластеры D, E и F как часть операции PurpleHaze. По имеющейся информации, группа использовала инфраструктуру ORB (операционные ретрансляторы), которую эксперты связывают с Китаем. Для первоначального проникновения применялись уязвимости CVE-2024-8963 и CVE-2024-8190 — причём за несколько дней до их публичного раскрытия. После получения доступа UNC5174, вероятно, передавала его другим группам для дальнейших действий.
Масштабная разведывательная кампания, зафиксированная в отношении американской компании SentinelOne, оказалась лишь одним эпизодом в серии связанных атак, осуществлённых на десятки целей по всему миру с середины 2024 года до весны 2025-го. По данным исследователей SentinelOne Александра Миленкоски и Тома Хегела, в число жертв вошли не только коммерческие компании, но и государственные структуры.
Целями атак стали более 70 организаций, среди которых — правительственное учреждение в Южной Азии, крупное европейское медиа, а также компании из сфер производства, телекоммуникаций, финансов и научных исследований. В частности, упоминается инцидент с IT-компанией, занимавшейся логистикой оборудования для сотрудников SentinelOne — именно она была скомпрометирована в начале 2025 года.
Виновниками атак специалисты называют киберпреступников с китайской привязкой . Часть операций отнесена к кластеру PurpleHaze, который частично совпадает с активностью известных шпионских группировок APT15 и UNC5174. При этом UNC5174 отслеживается компанией Mandiant под именем Uteus (или Uetus) и уже фигурировала в кампаниях с использованием уязвимостей SAP NetWeaver для доставки вредоноса GOREVERSE — варианта GoReShell.
Согласно докладу, интерес злоумышленников к SentinelOne был замечен ещё в апреле 2024 года. Тогда они проводили зондирование серверов компании, намеренно выставленных в интернет для обеспечения функциональности. Атакующие ограничились изучением доступных поверхностей, что, по мнению аналитиков, говорит о подготовке к потенциальным действиям в будущем.
Исследование выявило шесть отдельных кластеров активности, охватывающих период с июня 2024 по март 2025 года:
- Кластер A — атака на правительственное учреждение Южной Азии в июне 2024 года.
- Кластер B — серия глобальных вторжений в разные организации с июля 2024 по март 2025 года.
- Кластер C — компрометация IT-компании, связанной с логистикой SentinelOne, в начале 2025 года.
- Кластер D — повторное заражение того же южноазиатского учреждения в октябре 2024 года.
- Кластер E — разведка серверов SentinelOne в октябре 2024 года.
- Кластер F — атака на ведущую европейскую медиакомпанию в сентябре 2024 года.
В октябре злоумышленники вновь вернулись к южноазиатскому правительственному учреждению, установив бэкдор GoReShell на основе Go. Он использует SSH для соединения с заражённой системой. Идентичный вредонос был применён против европейской медиакомпании в сентябре того же года.
Интересно, что в обеих атаках были использованы инструменты, разработанные командой The Hacker’s Choice (THC) — ранее они считались средствами «белых хакеров» и впервые замечены в операциях, предположительно проводимых по заданию государства.
SentinelOne классифицирует кластеры D, E и F как часть операции PurpleHaze. По имеющейся информации, группа использовала инфраструктуру ORB (операционные ретрансляторы), которую эксперты связывают с Китаем. Для первоначального проникновения применялись уязвимости CVE-2024-8963 и CVE-2024-8190 — причём за несколько дней до их публичного раскрытия. После получения доступа UNC5174, вероятно, передавала его другим группам для дальнейших действий.