Çin devlet destekli aktörlere atfedilen ABD merkezli siber güvenlik firması, sofistike siber-karşıt kampanyaları ortaya çıktı.
Purlehaze etkinlik kümesi olarak izlenen bu rakipler, iş ekosistemiyle ilişkili yüksek değerli kuruluşların yanı sıra Sentinelone’un altyapısını hedeflediler.
Purplehaze tehdit kümesini ortaya çıkarmak
SentinelOne’un araştırma kolu olan Sentinellabs, 2024’ün şirket için eski bir donanım lojistik sağlayıcısına karşı bir saldırı sırasında bu tehdidi belirledi.
.png
)
APT15’e (Naylon Typhoon olarak da bilinir) yüksek güvenle bağlantılı Purplehaze kümesi, telekomünikasyon, BT ve hükümet kuruluşları dahil olmak üzere küresel olarak kritik sektörleri hedefleme modelini sergiliyor.
Operasyonları, Çin’den çalıştırılan ve kalıcı erişim için ters SSH bağlantıları kullanan Go tabanlı bir arka kapı olan Goreshell gibi kötü amaçlı yazılımları karmaşıklaştıran kapsamlı bir operasyonel röle kutusu (ORB) ağından yararlanmaktadır.
Shadowpad girişleri ve tedarik zinciri riskleri
Tehdidi daha da yoğunlaştıran Sentinellabs, APT41 gibi Çin tehdit aktörleri tarafından sıklıkla kullanılan modüler bir arka kapı platformu olan ShadowPad’i içeren ilgili etkinlikleri ortaya çıkardı.
Haziran 2024 ve Mart 2025 arasında, üretim, finans ve araştırma gibi sektörler arasında dünya çapında 70’den fazla organizasyon, sık sık kontrol noktası ağ geçidi cihazlarındaki N-Day güvenlik açıklarından yararlanan Scatterbrain-Obsuscated Shadowpad varyantlarına kurban düştü.
Özellikle, Haziran 2024’te, daha önce Purplehaze tarafından hedeflenen bir Güney Asya hükümeti varlığı Shadowpad ile vuruldu ve örtüşen aktörlerin sorularını gündeme getirdi veya Çin tehdit grupları arasında paylaşıldı.
Bu olay aynı zamanda bir lojistik sağlayıcısını, tedarik zinciri ekosistemlerinin kırılganlığının altını çizerek Sentinelone çalışanları için donanımı yöneten bir lojistik sağlayıcısını etkiledi.
Sentinelone altyapısından ikincil bir uzlaşma tespit edilmese de, üçüncü taraf sağlayıcıların hedeflenmesi, ulus devlet aktörlerinin yüksek değerli aşağı akış hedeflerine ulaşmak için dolaylı yollardan nasıl yararlandığını vurgulamaktadır.
Soruşturmalar, ShadowPad müdahalelerinin arkasındaki güdülerin, finansal kazanç, dikkat dağıtıcı veya kanıt yıkımı için fidye yazılımı dağıtımını içerecek şekilde casusluk ötesine uzanabileceğini düşündürmektedir.
Rapora göre, Sentinelone’un bu tehditlere proaktif yanıtı, gerçek zamanlı tedarik zinciri izleme ve çapraz fonksiyonel tehdit istihbarat paylaşımına yönelik kritik ihtiyacı vurgulamaktadır.
Firma, tehdit duyulan meta verileri varlık envanterlerine entegre etmeyi ve iyi kaynaklanan rakiplerin ortaya koyduğu yukarı yönlü riskleri ele almak için tehdit modellemesini genişletmeyi savunuyor.
Tedarik iş akışları, işletim sistemi görüntüleri ve segmentasyon politikaları ile ilgili iç incelemeleri, dış ortaklar aracılığıyla maruz kalmayı azaltmayı amaçlayan kuruluşlar için bir plan görevi görmektedir.
Çin devlet destekli aktörler, Goreshell ve Shadowpad gibi Orb ağları ve kötü amaçlı yazılımlar gibi sofistike altyapıdan giderek daha fazla yararlandıkça, siber güvenlik endüstrisi sadece dijital çevreleri değil, tüm operasyonel ayak izlerini sertleştirmek için büyüyen bir zorlukla karşı karşıya.
Sentinellabs, bu kalıcı düşmanların taktikleri, teknikleri ve prosedürleri (TTP’ler) hakkında daha derin bilgiler vaat ederek, gelişen bir tehdit manzarasında kolektif savunma stratejilerinin aciliyetini güçlendirerek, Purlehaze’de ayrıntılı bir halka açık sürüm planlıyor.
Bulguları, güvenlik satıcılarının ve müşterilerinin, hem doğrudan hem de dolaylı saldırı vektörleri aracılığıyla stratejik dayanaklar arayan ulus devlet aktörleri için ana hedefler olarak kaldıklarını ve tüm sektörlerde uyanıklık ve işbirliği gerektirdiğini hatırlatıyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!