EDR是網路攻擊者的眼中釘,除了設法迴避偵測,若能設法攻陷、破壞這些資安產品與服務、敗壞資安公司商譽,對他們自然有很大的好處,而對於資安廠商而言,協助客戶做好防護之餘,自保也很重要!4月底資安業者SentinelOne揭露有多組人馬針對他們而來的情況,這些攻擊者大致可分成3種類型,分別是以IT工作者名義求職的北韓駭客、試圖存取及濫用該公司資安平臺的勒索軟體駿客,以及鎖定他們客戶及業務的中國駭客組織。如今該公司針對中國駭客的活動,公布更完整的調查結果。
針對相關事故的調查過程,SentinelOne指出他們起初於去年10月,察覺駭客偵察該公司網路環境的活動並進行追蹤,結果發現兩波攻擊行動,並將活動命名為PurpleHaze和ShadowPad。該公司強調,經過徹底調查及確認,他們的基礎設施、軟體與硬體均未被入侵。
而對於受害企業的部分,SentinelOne表示,發生在他們網路環境的活動,僅是這些駭客攻擊活動的一部分,最早可追溯到去年6月,而且,該公司並非唯一的目標,他們認為,自己遭到攻擊僅是大規模攻擊的一部分。
針對這兩波攻擊,研究人員提及在PurpleHaze發生在去年9月至10月,駭客使用後門程式GOREshell建立反向SSH連線,此後門程式以Go語言打造而成,鎖定Windows、Linux電腦下手,共通點是駭客使用相同的SSH私鑰進行,此外,為了抹除證據,他們也使用自製工具清除事件記錄檔案。
另一波攻擊行動ShadowPad延續的時間較長,為去年6月至今年3月,駭客使用PowerShell命令下載經過混淆處理的惡意程式ShadowPad,並使用 DNS over HTTPS(DOH)建立C2連線以迴避偵測,研究人員提及,駭客取得初始入侵管道的方式,疑似透過Check Point安全閘道設備弱點得逞。
而對於這些攻擊行動,研究人員分別看到三起事故。以ShadowPad而言,駭客在去年6月對南亞政府組織下手,接著,他們自7月至今年3月,對全球超過70個企業組織展開攻擊,範圍橫跨製造、政府、金融、電信,以及研究領域。
最後一波攻擊與SentinelOne有關,今年初,駭客入侵一家經營IT服務與物流的公司,而該公司當時負責SentinelOne員工硬體設備的物流業務。
在PurpleHaze活動期間裡,也同樣發生三起事故。第一起是針對上述提及的南亞政府機關,於去年10月散布GOREshell,過程裡採用中國經營的Operational Relay Box(ORB)網路。
第二起事故也發生在10月,駭客針對SentinelOne可透過網際網路存取的伺服器試圖進行偵測,這起事故駭客使用的基礎設施,與攻擊南亞政府機關的團體有關。
研究人員提及發生於去年9月下旬的事故,駭客入侵一家歐洲媒體,除了使用GOREshell,還使用PHP打造的Web Shell,以及名為The Hacker's Choice的工具。他們提及駭客入侵的管道,是利用Ivanti Cloud Services Appliance的資安漏洞CVE-2024-8963和CVE-2024-8190,而當時這些漏洞尚未公開。
熱門新聞
2025-06-16
2025-06-16
2025-06-13
2025-06-13
2025-06-13
2025-06-16
