アメリカのサイバーセキュリティ企業SentinelOneを標的とした偵察活動は、2024年7月から2025年3月にかけての複数のターゲットへの部分的に関連する侵入の一環でした。
「被害者には南アジアの政府機関、ヨーロッパのメディア組織、そして幅広いセクターにわたる70以上の組織が含まれています」と、セキュリティ研究者のAleksandar MilenkoskiとTom Hegelは今日発表された報告書で述べています。
標的となったセクターには、製造業、政府、金融、通信、研究が含まれています。また、被害者の中には、2025年初頭の侵害時にSentinelOneの従業員のハードウェア物流を管理していたITサービスおよび物流会社も含まれていました。
この悪意のある活動は、中国関連の脅威アクターに高い確信を持って帰属されており、一部の攻撃はPurpleHazeと呼ばれる脅威クラスターに結び付けられています。これは、公開されている中国のサイバースパイグループAPT15およびUNC5174と重なっています。
2024年4月下旬、SentinelOneは、インターネット上で「機能性のために」意図的にアクセス可能にされていた一部のサーバーを標的としたPurpleHaze関連の偵察活動を初めて公開しました。
「脅威アクターの活動は、選択されたインターネットに面したサーバーのマッピングと可用性の評価に限定されており、将来の潜在的な行動の準備のためである可能性が高い」と研究者たちは述べています。
攻撃者の意図がIT物流組織だけを標的にすることだったのか、下流の組織に焦点を拡大する計画があったのかは現在不明です。攻撃のさらなる調査により、2024年6月に無名の南アジア政府機関の侵害から始まる6つの異なる活動クラスター(AからFまで)が明らかになりました。
クラスターは以下の通りです –
- 活動A: 南アジアの政府機関への侵入(2024年6月)
- 活動B: 世界中の組織を標的とした一連の侵入(2024年7月から2025年3月の間)
- 活動C: ITサービスおよび物流会社への侵入(2025年初頭)
- 活動D: 同じ南アジアの政府機関への再侵入(2024年10月)
- 活動E: SentinelOneサーバーを標的とした偵察活動(2024年10月)
- 活動F: 主要なヨーロッパのメディア組織への侵入(2024年9月下旬)
SentinelOneが以前詳細に述べた2024年6月の政府機関に対する攻撃は、ScatterBrainを使用して難読化されたShadowPadの展開につながったとされています。ShadowPadのアーティファクトとインフラストラクチャは、Check Pointゲートウェイデバイスの悪用に続いてNailaoLockerというコードネームのランサムウェアファミリーを配信した最近のShadowPadキャンペーンと重なっています。
その後、2024年10月に同じ組織が標的となり、SSHを使用して感染したホストに接続するGoベースのリバースシェルであるGoReShellがドロップされました。SentinelOneによれば、同じバックドアは2024年9月に主要なヨーロッパのメディア組織を狙った攻撃でも使用されました。
これら2つの活動クラスターに共通しているのは、The Hacker’s Choice (THC)という名前のITセキュリティ専門家チームによって開発されたツールの使用です。この開発は、THCのソフトウェアプログラムが国家支援のアクターによって悪用された初めての事例を示しています。
SentinelOneは、活動Fを「初期アクセスブローカー」としてGoogle Mandiantによって追跡されているUNC5174(別名UteusまたはUetus)と緩やかに関連する中国関連のアクターに帰属しています。この脅威グループは、SAP NetWeaverの脆弱性を悪用してGoReShellのバリアントであるGOREVERSEを配信するために最近リンクされました。サイバーセキュリティ企業は、活動D、E、FをまとめてPurpleHazeとして追跡しています。
「脅威アクターは、中国から運営されていると評価されるORB [運用リレーボックス]ネットワークインフラストラクチャを利用し、CVE-2024-8963の脆弱性とCVE-2024-8190を組み合わせて、脆弱性が公に公開される数日前に初期の足場を確立しました」と研究者たちは述べています。「これらのシステムを侵害した後、UNC5174は他の脅威アクターにアクセスを移譲したと疑われています。」
翻訳元: https://thehackernews.com/2025/06/over-70-organizations-across-multiple.html