網路安全研究人員揭露兩項由中國支持的大規模網路攻擊行動,分別為「ShadowPad」和「PurpleHaze」,這些行動從去年7月開始持續8個月,成功入侵全球超過70個高價值目標組織,其中包括知名AI驅動資安廠商SentinelOne。這些相互關聯的攻擊行動突顯了中國駭客組織對全球資安產業的多層次威脅。
雙重攻擊鎖定SentinelOne
根據SentinelOne旗下威脅研究部門SentineLabs今日發布的調查報告,該公司遭受兩次不同性質的攻擊:
- 第一波攻擊(2024年10月):屬於PurpleHaze活動群組的一部分,攻擊者針對SentinelOne可透過網際網路存取的伺服器進行「大規模遠端偵察」活動。
- 第二波攻擊(2025年初):屬於更大規模的ShadowPad行動,與ShadowPad後門惡意軟體相關,駭客鎖定負責管理SentinelOne員工硬體物流的第三方組織,企圖透過供應鏈方式滲透目標。
SentinelLabs研究人員表示:「我們立即通知了IT服務和物流組織相關入侵細節。經過對SentinelOne基礎設施、軟體和硬體資產的全面調查,未發現任何遭入侵的證據。」
調查顯示,這些攻擊活動的幕後黑手為兩個知名的中國支持威脅行為者:
- APT15組織(又稱Flea、Nickel、Vixen Panda、KE3CHANG、Royal APT、Playful Dragon):該組織活躍超過20年,近年來重新活躍,主要攻擊目標包括華裔族群和南北美洲的外交部門。
- UNC5174組織:被Mandiant識別的承包商組織,可能代表中國政府執行任務,主要鎖定美國、英國和加拿大等西方國家。
在去年7月至今年3月期間,研究人員追蹤到這兩個中國威脅行為者對各種目標發動的大量入侵活動。受害者範圍極為廣泛,包括南亞政府和歐洲的媒體機構,以及分布在製造業、金融業、電信業和研究機構等多個產業領域的超過70個組織。
這些攻擊目標的選擇顯示明確的戰略意圖,政府機構可能是為了獲取政策情報和外交資訊,而媒體組織則可能涉及資訊戰和輿論影響,而各產業部門的攻擊則反映出對商業機密和技術情報的竊取。攻擊者展現出對不同領域目標的深度了解和精準定位能力。
攻擊技術與工具分析
在ShadowPad行動中,
攻擊者主要使用ShadowPad後門惡意軟體進行網路間諜活動,目標涵蓋製造、政府、金融、電信和研究等多個領域。值得注意的是,此次攻擊與先前的NailoaLocker勒索軟體攻擊存在關聯性,顯示攻擊者具備多重攻擊能力。
PurpleHaze攻擊手法則更加複雜,攻擊者利用GOREshell惡意軟體叢集中的後門程式作為主要工具。在針對歐洲媒體組織的攻擊中,駭客成功利用兩個Ivanti雲端漏洞(CVE-2024-8963和CVE-2024-8190),更令人擊的是,攻擊者在這些漏洞公開披露前幾天就已開始利用,充分展現其高度的技術能力和情報收集水準。
攻擊者還部署了多項進階攻擊技術,包括ORB(Operational Relay Box)網路基礎設施來建立隱密的指揮控制管道,使用reverse_ssh後門變種進行持續存取,並巧妙利用The Hacker's Choice(THC)資安研究社群的公開工具來降低被偵測的風險。
資安廠商成為重點目標
SentinelOne強調,此次攻擊揭露了威脅環境中一個未受到足夠關注的面向:網路安全廠商正成為駭客的重點攻擊目標。
研究人員指出:「網路安全公司因其保護角色、對客戶環境的深度可見性,以及干擾對手行動的能力,成為威脅行為者的高價值目標。」
Ontinue公司安全營運副總裁Craig Jones評論道:「SentinelOne現在看到的是典型的中國關聯活動,這與我在Sophos領導防禦活動期間追蹤到的Pacific Rim攻擊完全吻合。當時我們看到相同的攻擊手法:高度針對性的行動、邊緣設備上的隱密植入程式,以及對高價值基礎設施長期存取的不懈追求。」
面對持續不斷的中國駭客威脅,SentinelOne呼籲資安產業加強透明度和情報分享,關鍵建議包括:
- 打破污名化思維:鼓勵網路安全公司主動分享遭攻擊資訊,促進「協調行動勝過聲譽傷害的恐懼」
- 強化監控能力:組織必須保持警覺,實施強化監控和快速回應能力
- 情報共享機制:建立更完善的威脅情報分享平台,提升整體防禦能力
- 供應鏈安全:特別關注第三方服務提供商的安全性
長期威脅趨勢分析
這起大規模攻擊行動反映出幾個重要趨勢。首先,國家級威脅持續升級,中國支持的駭客組織展現出越來越成熟的攻擊技術和持續性,其行動規模和複雜度都達到新的層次。同時,資安產業正成為新的戰場,網路安全廠商不再只是防護者的角色,也成為被重點攻擊的目標,這種角色轉換對整個產業生態構成深遠影響。
此外,
供應鏈攻擊策略已成為主要手法,攻擊者透過第三方服務提供商進行橫向攻擊,利用信任關係來突破傳統防線。最令人擔憂的是,攻擊者展現出搶先利用零日漏洞的能力,能在漏洞公開披露前就開始利用,這不僅顯示其強大的技術能力,更暴露出威脅情報收集和漏洞研究的高度成熟性。
面對日益複雜的國家級威脅,資安專家建議:
- 實施零信任架構:假設任何網路連線都可能遭到入侵
- 加強端點檢測:部署進階端點檢測和回應(EDR)解決方案
- 定期威脅狩獵:主動搜尋網路中的威脅指標
- 建立事件回應計畫:制定完善的資安事件處理流程
- 第三方風險評估:定期評估供應鏈合作夥伴的安全狀況
SentinelLabs表示:「透過公開分享我們調查的詳細資訊,我們希望能深入了解很少被討論的網路安全廠商目標攻擊問題,協助消除分享這些攻擊活動危害指標的污名,進而加深對中國關聯威脅行為者的戰術、目標和行動模式的理解。」