Американската компания за киберсигурност SentinelOne сподели допълнителна информация за успешно предотвратена supply chain атака, насочена към нея от китайски хакери. Атаката е била насочена чрез IT логистична фирма, отговаряща за хардуерното обслужване на SentinelOne, и е част от по-широка кибершпионска кампания, засягаща над 70 организации в световен мащаб.

SentinelOne като цел с висока стойност

SentinelOne разработва усъвършенствани решения за защита на крайните точки (EDR/XDR) и обслужва критични инфраструктури и големи предприятия в САЩ и по света. Това я прави привлекателна мишена за държавно подкрепяни заплахи, които търсят достъп до защитираните корпоративни мрежи или опити за анализ на механизмите за откриване и заобикалянето им.

Две кампании: PurpleHaze и ShadowPad

Според SentinelLabs, звеното за разследване на заплахи в компанията, атаката е част от две координирани кампании:

• PurpleHaze – приписвана на групите APT15 и UNC5174, активна между септември и октомври 2024 г.

• ShadowPad – свързана с APT41, активна между юни 2024 и март 2025 г.

SentinelOne е била обект и на двете кампании – първо чрез разузнавателна дейност, а след това чрез supply chain опит за компрометиране.

Методи на атака и вектори за проникване

Хакерите са използвали уязвимости в широко разпространени мрежови устройства, включително:

• Ivanti Cloud Service Appliances

• Check Point gateway-и

• Fortinet FortiGate

• Microsoft IIS сървъри

• SonicWall и CrushFTP сървъри

Особено внимание се обръща на факта, че атакуващите са регистрирали домейни, имитиращи инфраструктурата на SentinelOne, като sentinelxdr[.]us и secmailbox[.]us, в опит да заблудят служители или да осъществят фишинг и комуникация със зловредни сървъри.

GOREshell и ShadowPad: Зловреден софтуер и инструменти за контрол

В кампанията PurpleHaze при някои цели е използван GOREshell – бекдор, внедрен чрез експлойти на нулев ден, насочени към публично достъпни сървъри.
При опита за supply chain атака в началото на 2025 г. (ShadowPad), APT41 е използвала:

• ShadowPad зловреден софтуер, обфускиран чрез компонент наречен ScatterBrain

• PowerShell скрипт с 60-секундна забавяне, за да избегне анализ в sandbox среди

• Планирано рестартиране на системата за изчистване на следи от паметта

• Инструмент Nimbo-C2 за отдалечен достъп – поддържа команди през PowerShell, правене на скрийншоти, работа с файлове, заобикаляне на UAC и др.

Също така е използван специален PowerShell скрипт за извличане на данни, който претърсва системата за чувствителни документи, архивира ги с парола чрез 7-Zip и ги изпраща към сървър на атакуващите.

Няма компрометиране на продуктите на SentinelOne

SentinelOne заявява, че е проверила задълбочено своята инфраструктура и не е открила компрометиране на нито един софтуерен или хардуерен компонент. Опитът за атака е идентифициран и блокиран преди да нанесе щети.

„Тази кампания подчертава постоянната заплаха, която представляват свързаните с Китай кибершпионски групи за различни индустрии и държавни институции – включително и за самите компании, защитаващи дигиталната инфраструктура,“ се казва в официалното становище на SentinelOne.