Amerikan siber güvenlik şirketi Sentinelone’u hedefleyen keşif faaliyeti, Temmuz 2024 ile Mart 2025 arasında çeşitli hedeflere kısmen ilgili müdahalelerin daha geniş bir parçasının bir parçasıydı.
Güvenlik araştırmacıları Aleksandar Milenkoski ve Tom Hegel bugün yayınlanan bir raporda, “Mağdur bir Güney Asya hükümet kuruluşu, bir Avrupa medya kuruluşu ve çok çeşitli sektörlerde 70’den fazla kuruluşu içeriyor.” Dedi.
Hedeflenen sektörlerden bazıları üretim, hükümet, finans, telekomünikasyon ve araştırmayı içerir. Ayrıca kurbanlar arasında, 2025’in başlarında ihlal sırasında Sentinelone çalışanları için donanım lojistiğini yöneten bir BT hizmetleri ve lojistik şirketi de vardı.
Kötü niyetli etkinlik, Çin-Nexus tehdit aktörlerine yüksek güvenle ilişkilendirildi, bazı saldırılar olarak adlandırılan bir tehdit kümesine bağlı Purplehazebu da Çin siber casusluk gruplarıyla örtüşmektedir.
Nisan 2024’ün sonlarında, Sentinelone ilk olarak, “işlevselliklerinin erdemi” ile internet üzerinden kasıtlı olarak erişilebilen bazı sunucularını hedefleyen Purplehaze ile ilgili keşif faaliyetini açıkladı.
Araştırmacılar, “Tehdit oyuncunun faaliyetleri, muhtemelen gelecekteki potansiyel eylemlere hazırlanırken, belirli internete dönük sunucuların kullanılabilirliğini haritalamak ve değerlendirmekle sınırlıydı.” Dedi.
Şu anda saldırganların niyetinin sadece BT lojistik organizasyonunu hedefleyip hedeflemeyeceği veya odaklarını aşağı yönlü organizasyonlara da genişletmeyi planlayıp planlamadıkları bilinmemektedir. Saldırılarla ilgili daha fazla araştırma, isimsiz bir Güney Asya hükümet kuruluşunun uzlaşmasıyla Haziran 2024’e kadar uzanan altı farklı etkinlik kümesini (A’dan F’ye adlandırılır) ortaya çıkarmıştır.
Kümeler aşağıda listelenmiştir –
- Etkinlik A: Güney Asya hükümet kuruluşuna izinsiz giriş (Haziran 2024)
- Etkinlik B: Organizasyonları küresel olarak hedefleyen bir dizi müdahale (Temmuz 2024 ve Mart 2025)
- Etkinlik C: BT hizmetlerine ve lojistik şirketine izinsiz giriş (2025 başında)
- Etkinlik D: Aynı Güney Asya hükümet kuruluşuna müdahale (Ekim 2024)
- Etkinlik E: Sentinelone sunucularını hedefleyen keşif faaliyeti (Ekim 2024)
- Etkinlik F: Önde gelen bir Avrupa medya organizasyonuna izinsiz giriş (Eylül 2024’ün sonları)
Haziran 2024, daha önce Sentinelone tarafından ayrıntılı olarak açıklandığı gibi, hükümet kuruluşuna yönelik saldırının, Scatterbrain kullanılarak gizlenen ShadowPad’in konuşlandırılmasına yol açtığı söyleniyor. ShadowPad eserleri ve altyapısı, Check Point ağ geçidi cihazlarının kullanılmasının ardından Fidyeware Aile Nailaolocker adlı bir fidye yazılımı kampanyası sunan son ShadowPad kampanyalarıyla örtüşüyor.
Daha sonra Ekim 2024’te, aynı organizasyon, enfekte olmuş bir ana bilgisayara bağlanmak için SSH kullanan Goreshell olarak adlandırılan GO tabanlı bir ters kabuk bırakmayı hedefledi. Sentinelone, aynı arka kapı, Eylül 2024’ün önde gelen bir Avrupa medya organizasyonuna yönelik bir saldırı ile bağlantılı olarak kullanıldığını belirtti.
Bu iki etkinlik kümesi için de yaygın olan, Hacker’ın Seçimi (THC) adıyla devam eden BT güvenlik uzmanlarından oluşan bir ekip tarafından geliştirilen araçların kullanılmasıdır. Geliştirme, THC’nin yazılım programlarının devlet destekli aktörler tarafından ilk kez istismar edildiğini işaret ediyor.
SentinelOne, F etkinliğini bir Çin-Nexus aktörüne, Google Mantiant tarafından UNC5174 (aka Uteus veya Uetus) adı altında izlenen bir “başlangıç erişim brokeri” na bağladı. Tehdit grubunun son zamanlarda SAP Netweaver kusurlarının Goreshell’in bir çeşidi olan Gorverse’yi sunmak için aktif sömürüsüyle bağlantılı olduğunu belirtmek gerekir. Siber güvenlik şirketi, Purplehaze olarak D, E ve F etkinliğini toplu olarak izliyor.
“Tehdit oyuncusu küre kürek çekti [operational relay box] Çin’den işletileceğini değerlendirdiğimiz ve CVE-2024-8963 kırılganlığından, CVE-2024-8190 ile birlikte, güvenlik açıklarının kamuya açıklanmasından birkaç gün önce, araştırmacıların, “bu sistemlerin diğer tehditlere erişim sağladıktan sonra,” dedi. “