Исследователи SentinelOne поделились подробностями инцидента, связанного с попыткой атаки на цепочку поставок со стороны китайских хакеров через фирму-подрядчика.

Учитывая, что использование EDR/XDR-решений в защите критической инфраструктуры и корпоративного сектора, SentinelOne представляет весьма интересную цель для APT-субъектов, поскольку ее взлом может открыть доступ к корпоративным сетям нижестоящего уровня.

SentinelLabs впервые раскрыла попытку атаки в апреле, а в новом отчете сообщает о выявлении в ходе ее расследования более широкой кампании, нацеленной на более чем 70 организаций по всему миру в период с июня 2024 года по март 2025 года.

Целями выступали компании в госсекторе, в сфере телекоммуникаций, СМИ, финансов, производства, исследований и ИТ.

Сама кампания разделена на два кластера.

Первый из них - PurpleHaze: приписывается APT15 и UNC5174 и охватывает период с сентября по октябрь 2024 года.

При этом SentinelOne была целью обоих кластеров: один раз для разведки, а другой - для вторжения в цепочку поставок.

Исследователи подозревают, что злоумышленники в обеих кампаниях в качестве вектора первоначального доступа использовали уязвимости в открытых сетевых устройствах, включая устройства Ivanti Cloud Service и шлюзы Check Point.

Кроме того, фиксировалась связь с серверами ShadowPad C2, исходящую от серверов Fortinet Fortigate, Microsoft IIS, SonicWall и CrushFTP, что позволяет предположить потенциальную эксплуатацию и этих систем.

Волна атак PurpleHaze на SentinelOne в октябре 2024 года была нацелена на сканирование серверов компании, подключенных к Интернету, через порт 443, в попытках сопоставить доступные сервисы.

Злоумышленники также зарегистрировали домены, маскирующиеся под инфраструктуру SentinelOne, такие как sentinelxdr[.]us и secmailbox[.]us.

На основании полученных в ходе расследования PurpleHaze артефактов, исследователи установили, что в реализации атак хакеры задействовали бэкдор GOREshell, который внедрялся на открытые сетевые конечные точки с использованием 0-day эксплойтов.

Более поздний кластер активности - ShadowPad: был инициирован APT41 в период с июня 2024 года по март 2025 года.

И вновь в начале 2025 года злоумышленники пытались осуществить атаку на цепочку поставок SentinelOne, предположительно, с помощью вредоносного ПО ShadowPad, замаскированного с помощью ScatterBrain, через доверенного подрядчика - логистическую компанию.

Атакующие доставили вредоносное ПО к цели через PowerShell, который использовал 60-секундную задержку для обхода песочницы.

Затем вредоносное ПО осуществляло перезагрузку системы через 30 минут, чтобы зачистить следы в памяти.

Хакеры развернули среду удаленного доступа с открытым исходным кодом Nimbo-C2, реализующую широкий спектр удаленных возможностей, включая снимки экрана, выполнение команд PowerShell, файловые операции, обход UAC и многое другое.

Злоумышленники также задействовали скрипт эксфильтрации на основе PowerShell, который выполняет рекурсивный поиск конфиденциальных пользовательских документов, архивирует их в защищенном паролем архиве 7-Zip и извлекает их.

SentinelOne отмечает, что конечные цели злоумышленников остаются неясными, но наиболее вероятным сценарием является взлом цепочки поставок.

Компания тщательно проверила свои активы и сообщила, что никаких нарушений в программном обеспечении или оборудовании SentinelOne обнаружено не было. Как было на самом деле - вряд ли кто расскажет.

Но будем посмотреть.