В период с 2024 по 2025 год исследователи SentinelLABS зафиксировали масштабные операции китайских хакерских группировок, нацеленные на правительственные структуры, медиакомпании и даже поставщиков решений кибербезопасности. Атаки, объединенные в кластеры PurpleHaze и ShadowPad, демонстрируют растущую угрозу со стороны китайских APT-групп, использующих сложные методы обфускации и инфраструктуру для скрытия своей деятельности.
Описание
Одной из ключевых целей стала южноазиатская правительственная организация, подвергшаяся атаке в июне 2024 года с использованием бэкдора ShadowPad, замаскированного под легитимное ПО. В октябре того же года та же организация была атакована снова, но на этот раз злоумышленники применили модифицированную версию открытого бэкдора reverse_ssh, который SentinelLABS классифицирует как часть семейства GOREshell.
Параллельно в сентябре 2024 года была взломана ведущая европейская медиакомпания. Анализ показал, что злоумышленники использовали уязвимости в облачных сервисах Ivanti (CVE-2024-8963 и CVE-2024-8190) еще до их публичного раскрытия. В атаке также применялись инструменты из арсенала сообщества The Hacker’s Choice (THC), что ранее не было характерно для APT-групп.
Отдельное внимание привлекла разведывательная активность в отношении инфраструктуры SentinelOne. Хакеры изучали доступные из интернета серверы компании, вероятно, готовясь к будущим атакам. Исследователи связывают эту активность с теми же группировками, которые атаковали правительственные и медийные структуры.
Эти операции подчеркивают растущую изощренность китайских APT-групп, их способность адаптировать открытые инструменты и эксплуатировать уязвимости до их публикации. Кроме того, атаки на поставщиков кибербезопасности демонстрируют стратегический интерес злоумышленников к организациям, которые могут предоставить доступ к данным множества клиентов.
Индикаторы компрометации
IPv4
- 103.248.61.36
- 107.173.111.26
- 128.199.124.136
- 142.93.212.42
- 142.93.214.219
- 143.244.137.54
- 45.13.199.209
- 65.38.120.110
Domains
- cloud.trendav.co
- downloads.trendav.vip
- dscriy.chtq.net
- epp.navy.ddns.info
- mail.ccna.organiccrap.com
- mail.secmailbox.us
- network.oossafe.com
- news.imaginerjp.com
- notes.oossafe.com
- secmailbox.us
- sentinelxdr.us
- tatacom.duckdns.org
- trendav.vip
- updata.dsqurey.com
URLs
- https://45.13.199.209/rss/rss.php
SHA1
- 106248206f1c995a76058999ccd6a6d0f420461e
- 411180c89953ab5e0c59bd4b835eef740b550823
- 4896cfff334f846079174d3ea2d541eec72690a0
- 5ee4be6f82a16ebb1cf8f35481c88c2559e5e41a
- 7dabf87617d646a9ec3e135b5f0e5edae50cd3b9
- a31642046471ec138bb66271e365a01569ff8d7f
- a88f34c0b3a6df683bb89058f8e7a7d534698069
- aa6a9c25aff0e773d4189480171afcf7d0f69ad9
- c43b0006b3f7cd88d31aded8579830168a44ba79
- cb2d18fb91f0cd88e82cb36b614cfedf3e4ae49b
- cbe82e23f8920512b1cf56f3b5b0bca61ec137b9
- ebe6068e2161fe359a63007f9febea00399d7ef3
- f52e18b7c8417c7573125c0047adb32d8d813529