Siber güvenlik şirketi Sentinelone Purplehaze altyapısına ve bazı yüksek değerli müşterilerine karşı keşif girişimleri gerçekleştirdi.
Güvenlik Araştırmacıları Tom Hegel, Aleksandar Milenkoski ve Jim Walter Pazartesi günü yayınlanan bir analizde, “Bu tehdit kümesinin, daha önce Sentinelone çalışanları için donanım lojistik hizmetleri sunan bir kuruluşa karşı yapılan 2024 saldırı sırasında farkına vardık.” Dedi.
Purplehaze, Flea, Naylon Typhoon (eski nikel), oynak Torus, Royal Apt ve Vixen Panda olarak da izlenen APT15 olarak bilinen başka bir devlet destekli gruba gevşek bağları olan bir hack mürettebatı olarak değerlendirilir.
Düşman kolektifi, Ekim 2024’te operasyonel röle kutusu (ORB) ağı ve Goreshell olarak adlandırılan bir Windows arka kapı kullanan isimsiz bir Güney Asya hükümeti destekli varlığı hedefleyen gözlemlenmiştir.
GO programlama dilinde yazılmış implant, saldırganın kontrolü altındaki uç noktalara ters SSH bağlantıları kurmak için ters_ssh adlı açık kaynaklı bir aracı yeniden kullanır.
Araştırmacılar, “Kürek ağlarının kullanımı, bu tehdit grupları arasında büyüyen bir eğilimdir, çünkü siberislik operasyonları izlemeyi ve atıflarını zorlaştıran dinamik ve gelişen bir altyapı oluşturmak için hızla genişletilebilirler.”
Daha ileri analizler, aynı Güney Asya hükümet kuruluşunun daha önce Haziran 2024’te Çin-Nexus casusluk grupları arasında yaygın olarak paylaşılan bilinen bir arka kapı olan Shadowpad (diğer adıyla zehirli) ile hedeflendiğini belirledi. ShadowPad, Plugx olarak adlandırılan başka bir arka kapıya halef olarak kabul edilir.
Bununla birlikte, Shadowpad son aylarda fidye yazılımı sunmak için bir kanal olarak da kullanılırken, saldırının arkasındaki kesin motivasyon belirsizliğini koruyor. Shadowpad eserlerinin Scatterbrain adı verilen ısmarlama bir derleyici kullanılarak gizlendiği bulunmuştur.
Haziran 2024 faaliyeti ile daha sonraki Purplehaze saldırıları arasındaki örtüşmenin kesin doğası henüz bilinmiyor. Ancak, aynı tehdit oyuncunun arkalarında olabileceğine inanılıyor.
Scatterbrain-Obsuscated Shadowpad’in, kontrol noktası ağ geçidi cihazlarındaki bir N-Day güvenlik açığını kullandıktan sonra üretim, hükümet, finans, telekomünikasyon ve araştırma sektörlerini kapsayan 70’den fazla kuruluşu hedefleyen müdahalelerde kullanıldığı tahmin edilmektedir.
Bu saldırıların kurbanları arasında, daha sonra Sentinelone çalışanları için donanım lojistiğini yönetmekten sorumlu olan kuruluş vardı. Ancak, siber güvenlik firması ikincil bir uzlaşma kanıtı bulamadığını belirtti.
Sadece Çin değil, Sentinelone, Kuzey Kore’ye hizalanmış BT işçilerinin, yaklaşık 360 sahte kişiler ve 1.000’den fazla iş başvurusu aracılığıyla şirkette işleri güvence altına alma girişimlerinin de gözlemlendiğini söyledi.
Son olarak, fidye yazılımı operatörleri, yazılımlarının algılamadan kaçınma yeteneğini değerlendirmek için araçlarına erişmeye çalışarak Sentinelone ve diğer işletme odaklı güvenlik platformlarını hedeflediler.
Bu, mesajlaşma uygulamalarında bu tür kurumsal güvenlik tekliflerine ve XSS gibi forumlara alım, satma ve kiralama konusunda dönen aktif bir yeraltı ekonomisi tarafından beslenir.[.]istismar[.]içinde ve rampa.
Araştırmacılar, “Bu ekosistem etrafında, aktörlerin çeşitli uç nokta koruma platformlarına karşı kötü amaçlı yazılımları gizlice değerlendirebilecekleri ‘EDR Testi’ dahil tüm hizmet teklifleri ortaya çıktı.
“Bu test hizmetleri tam özellikli EDR konsollarına veya temsilcilerine doğrudan erişim sağlayamasa da, saldırganlara maruz kalma tehdidi olmadan kötü niyetli yükleri ince ayar yapmak için yarı özel ortamlar sağlıyorlar-gerçek dünya saldırılarındaki başarı oranlarını önemli ölçüde iyileştiriyorlar.”
Bu tehdidi yepyeni bir seviyeye taşıyan fidye yazılımı grubu, bir Rus vatandaşı tarafından yönetildiğine inanılan azottur. Insiderlara yaklaşmayı veya Infostealer günlüklerinden hasat edilen meşru kimlik bilgilerini kullanmayı içeren tipik yaklaşımların aksine, azot gerçek şirketleri taklit ederek farklı bir strateji benimser.
Bu, meşru şirketleri taklit eden ve tehdit oyuncusunun EDR ve diğer güvenlik ürünleri için resmi lisans satın almasına izin veren benzeri alanlar, sahte e -posta adresleri ve klonlanmış altyapı kurarak elde edilir.
Araştırmacılar, “Bu tür bir sosyal mühendislik hassasiyetle yürütülüyor.” Dedi. “Azot tipik olarak küçük, hafifçe denetlenmiş satıcıları hedefler – etkileşimleri minimal tutmak ve satıcıların tutarsız KYC (müşterinizi bilin) uygulamalarına güvenmek için çatlaklardan geçer.”