A SentinelOne compartilhou mais detalhes sobre uma tentativa de ataque à cadeia de suprimentos feita por hackers chineses por meio de uma empresa de serviços e logística de TI que gerencia a logística de hardware para a empresa de cibersegurança.
SentinelOne é uma provedora americana de soluções de proteção de endpoint (EDR/XDR) que protege infraestruturas críticas no país e numerosas grandes empresas.
Ela é um alvo de grande valor para atores estatais, pois comprometê-la poderia servir como um trampolim para acessar redes corporativas downstream e obter insights sobre capacidades de detecção para desenvolver métodos de evasão.
A SentinelLabs relatou a tentativa de ataque pela primeira vez em abril, com um novo relatório hoje descrevendo o ataque como parte de uma campanha mais ampla que mirou mais de 70 entidades em todo o mundo entre junho de 2024 e março de 2025.
Os alvos incluem organizações nos setores de governo, telecomunicações, mídia, finanças, manufatura, pesquisa e TI.
A campanha é separada em dois clusters.
O primeiro é 'PurpleHaze', atribuído à APT15 e UNC5174, abrangendo um período entre setembro e outubro de 2024.
SentinelOne foi alvo de ambos os clusters, uma vez para reconhecimento e outra para intrusão na cadeia de suprimentos.
SentinelOne suspeita que os atores de ameaças em ambas as campanhas exploraram vulnerabilidades em dispositivos de rede expostos, incluindo Ivanti Cloud Service Appliances e gateways Check Point.
"Suspeitamos que o vetor de acesso inicial mais comum envolveu a exploração de dispositivos gateways Check Point, consistente com pesquisas anteriores sobre este tópico," relata SentinelLabs.
Também observamos comunicação para servidores ShadowPad C2 originada de servidores Fortinet Fortigate, Microsoft IIS, SonicWall e CrushFTP, sugerindo a exploração potencial desses sistemas também.
A onda de ataques PurpleHaze tentou invadir a SentinelOne em outubro de 2024, onde os atores de ameaças realizaram varreduras nos servidores expostos à internet da empresa pela porta 443, buscando mapear serviços acessíveis.
Os atores de ameaças registraram domínios disfarçados como infraestrutura da SentinelOne, como sentinelxdr[.]us e secmailbox[.]us.
Com base em evidências de outros alvos, incluindo um governo do Sul da Ásia, ataques bem-sucedidos usaram o backdoor GOREshell, que foi introduzido em endpoints expostos à rede usando exploits de zero-day.
A atividade de cluster mais recente é 'ShadowPad', conduzida pela APT41 entre junho de 2024 e março de 2025.
Os atores de ameaças tentaram o que se acredita ser um ataque à cadeia de suprimentos na SentinelOne no início de 2025, onde a APT41 usou o malware ShadowPad, ofuscado via ScatterBrain, contra uma empresa de serviços e logística de TI que trabalhava com a empresa de cibersegurança.
Os atacantes entregaram o malware ao alvo via PowerShell, que usava um atraso de 60 segundos para evitar ambientes sandbox.
O malware, então, agendava um reboot do sistema após 30 minutos para limpar os rastros na memória.
A seguir, os hackers implantaram o framework de acesso remoto de código aberto 'Nimbo-C2' para fornecer uma ampla gama de capacidades remotas, incluindo captura de tela, execução de comandos PowerShell, operações de arquivo, bypass de UAC e mais.
Os atacantes também usaram um script de exfiltração baseado em PowerShell que realiza uma busca recursiva por documentos sensíveis do usuário, arquiva-os em um arquivo 7-Zip bloqueado por senha e os exfiltra.
A SentinelOne comenta que os objetivos dos atores de ameaças permanecem obscuros, mas um comprometimento da cadeia de suprimentos é o cenário mais provável.
A empresa de cibersegurança examinou minuciosamente seus ativos e relatou que não foi detectado nenhum comprometimento no software ou hardware da SentinelOne.
"Este post destaca a persistente ameaça representada por atores de ciberespionagem com conexão à China a uma ampla gama de indústrias e organizações do setor público, incluindo os próprios fornecedores de cibersegurança," conclui a SentinelOne.
As atividades detalhadas nesta pesquisa refletem o forte interesse desses atores nas mesmas organizações encarregadas de defender a infraestrutura digital.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...