EDR是网路攻击者的眼中钉,除了设法回避侦测,若能设法攻陷、破坏这些资安产品与服务、败坏资安公司商誉,对他们自然有很大的好处,而对于资安厂商而言,协助客户做好防护之余,自保也很重要!4月底资安业者SentinelOne揭露针对相关事故的调查过程,SentinelOne指出他们起初于去年10月,察觉骇客侦察该公司网路环境的活动并进行追踪,结果发现两波攻击行动,并将活动命名为PurpleHaze和ShadowPad。该公司强调,经过彻底调查及确认,他们的基础设施、软体与硬体均未被入侵。
而对于受害企业的部分,SentinelOne表示,发生在他们网路环境的活动,仅是这些骇客攻击活动的一部分,最早可追溯到去年6月,而且,该公司并非唯一的目标,他们认为,自己遭到攻击仅是大规模攻击的一部分。
针对这两波攻击,研究人员提及在PurpleHaze发生在去年9月至10月,骇客使用后门程式GOREshell建立反向SSH连线,此后门程式以Go语言打造而成,锁定Windows、Linux电脑下手,共通点是骇客使用相同的SSH私钥进行,此外,为了抹除证据,他们也使用自制工具清除事件记录档案。
另一波攻击行动ShadowPad延续的时间较长,为去年6月至今年3月,骇客使用PowerShell命令下载经过混淆处理的恶意程式ShadowPad,并使用 DNS over HTTPS(DOH)建立C2连线以回避侦测,研究人员提及,骇客取得初始入侵管道的方式,疑似透过Check Point安全闸道设备弱点得逞。
而对于这些攻击行动,研究人员分别看到三起事故。以ShadowPad而言,骇客在去年6月对南亚政府组织下手,接著,他们自7月至今年3月,对全球超过70个企业组织展开攻击,范围横跨制造、政府、金融、电信,以及研究领域。
最后一波攻击与SentinelOne有关,今年初,骇客入侵一家经营IT服务与物流的公司,而该公司当时负责SentinelOne员工硬体设备的物流业务。
在PurpleHaze活动期间里,也同样发生三起事故。第一起是针对上述提及的南亚政府机关,于去年10月散布GOREshell,过程里采用中国经营的Operational Relay Box(ORB)网路。
第二起事故也发生在10月,骇客针对SentinelOne可透过网际网路存取的伺服器试图进行侦测,这起事故骇客使用的基础设施,与攻击南亚政府机关的团体有关。
研究人员提及发生于去年9月下旬的事故,骇客入侵一家欧洲媒体,除了使用GOREshell,还使用PHP打造的Web Shell,以及名为The Hacker’s Choice的工具。他们提及骇客入侵的管道,是利用Ivanti Cloud Services Appliance的资安漏洞CVE-2024-8963和CVE-2024-8190,而当时这些漏洞尚未公开。